ZYXEL : Problème de sécurité (vulnérabilité d'exécution de code à distance) dans le NAS et Firewall

Article du support technique de ZYXEL

Les produits Zyxel NAS (Network Attached Storage) et Firewall sont affectés par une vulnérabilité d’exécution de code à distance. Il est conseillé aux utilisateurs d’installer immédiatement notre dernier firmware pour une protection optimale.

Quelle est la vulnérabilité? Une vulnérabilité d’exécution de code à distance a été identifiée dans le weblogin.cgi utilisé dans les produits NAS et pare-feu Zyxel.

L’authentification manquante pour le programme pourrait permettre aux attaquants d’exécuter du code à distance via l’injection de commandes du système d’exploitation.

 

Quels produits sont vulnérables et que devez-vous faire? Après une étude approfondie des gammes de produits complètes, nous avons confirmé que la vulnérabilité affecte les produits suivants exécutant des versions de firmware spécifiques:

– Produits NAS exécutant la version 5.21 du micrologiciel et les versions antérieures. – Les pare-feu UTM, ATP et VPN exécutant la version de firmware v4.35 Patch 0 à v4.35 Patch 2.

Ceux avec des versions de firmware avant v4.35 Patch 0 ne sont PAS affectés.

Nous avons identifié les produits vulnérables couverts par leur garantie et leur période d’assistance, comme indiqué dans le tableau ci-dessous.

Pour une protection optimale, nous invitons les utilisateurs à installer les correctifs et les correctifs de micrologiciel standard uniquement lorsqu’ils sont disponibles.