Zyxel предупредила о множественных уязвимостях в своих продуктах

Компания Zyxel опубликовала обновление безопасности для администраторов, предупреждающее о множественных уязвимостях в межсетевых экранах, токах доступа и контроллерах точек доступа своего производства.

Хотя уязвимости не являются критическими, они все равно представляют угрозу как сами по себе, так и в связке с другими уязвимостями.

CVE-2022-0734 – межсайтовый скриптинг (XSS) в компоненте CGI. Уязвимость позволяет с помощью скрипта для похищения данных перехватывать хранящиеся в браузере файлы cookie и токены сеанса.

CVE-2022-26531 – недостаточная проверка вводимых данных в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику вызвать переполнения буфера или аварийное завершение работы системы.

CVE-2022-2653 – внедрение команд в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику выполнять произвольные команды на ОС.

CVE-2022-0910 – обход аутентификации в компоненте CGI. Уязвимость позволяет злоумышленнику отключить двухфакторную аутентификацию через клиент IPsec VPN.

Уязвимости затрагивают межсетевые экраны USG/ZyWALL, USG FLEX, ATP, VPN, NSG, контроллеры точек доступа NXC2500 и NXC5500, а также различные точки доступа, включая модели серий NAP, NWA, WAC и WAX.

Производитель выпустил обновления безопасности для большинства затронутых моделей. Однако срочные исправления для контроллеров точек доступа не являются общедоступными, и администраторы должны запрашивать их у своих местных представителей Zyxel.

Что касается межсетевых экранов, то для USG/ZyWALL выпущена новая версия прошивки 4.72. USG FLEX, ATP и VPN должны быть обновлены до версии ZLD 5.30, а продукты NSG получили исправление через v1.33 патч 5.