جمعه ۲ آذر ۱۴۰۳ , 22 Nov 2024
جالب است ۰
شرکت Zyxel درباره آسیب‌پذیری‌هایی در محصولات firewall ،AP و AP controller این شرکت به مدیران هشدار داد.
منبع : مرکز ماهر
شرکت  Zyxel درباره آسیب‌پذیری‌هایی در محصولات firewall ،AP و AP controller این شرکت  به مدیران هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در یک توصیه‌ امنیتی، Zyxel در خصوص آسیب‌پذیری‌هایی که طیف گسترده‌ای از محصولات firewall، AP و AP controller این شرکت را تحت تأثیر قرار می‌دهد به مدیران هشدار داد.

اگرچه این آسیب‌پذیری‌ها دارای شدت بحرانی نیستند، اما باز هم به تنهایی قابل توجه بوده و می‌توانند به عنوان بخشی از زنجیره‌های اکسپلویت توسط مهاجمان مورد سوءاستفاده قرار گیرند. سازمان‌های بزرگی از محصولات Zyxel استفاده می‌کنند و هر گونه نقص قابل بهره‌برداری در این محصولات بلافاصله توجه مهاجمان را به خود جلب می‌کند.

این آسیب‌پذیری‌ها چهار مورد هستند:
CVE-۲۰۲۲-۰۷۳۴: آسیب‌پذیری cross-site scripting با شدت متوسط (۵.۸ از ۱۰)، که در مؤلفه‌ی CGI وجود دارد و به مهاجمان اجازه می‌دهد از یک اسکریپت سرقت داده برای ربودن کوکی‌ها و توکن‌های نشستِ ذخیره‌شده در مرورگر کاربر استفاده کنند.

CVE-۲۰۲۲-۲۶۵۳۱: آسیب‌پذیری اعتبارسنجی نامناسب با شدت متوسط (۶.۱ از ۱۰)، در برخی از دستورات CLI که به یک مهاجم احراز هویت‌شده‌ی محلی اجازه می‌دهد که موجب سرریز بافر یا از کار افتادن سیستم شود.

CVE-۲۰۲۲-۲۶۵۳۲: آسیب‌پذیری تزریق دستور با شدت بالا (۷.۸ از ۱۰)، در برخی از دستورات CLI که به یک مهاجم احراز هویت‌شده‌ی محلی اجازه می‌دهد دستورات سیستم‌عامل دلخواه خود را اجرا کند.

CVE-۲۰۲۲-۰۹۱۰: آسیب‌پذیری دور زدن احراز هویت با شدت متوسط (۶.۵ از ۱۰) در مؤلفه‌ی CGI، که به مهاجم جازه می‌دهد تا از طریق یک IPsec VPN client احراز هویت دو مرحله‌ای را به یک مرحله‌ای تنزل دهد.


آسیب‌پذیری‌های مذکور محصولات زیر را تحت تأثیر قرار می‌دهند:




به‌روزرسانی‌هایی که Zyxel منتشر کرده است آسیب‌پذیری موجود در اکثر مدل‌های آسیب‌پذیر را برطرف می‌کند. با این وجود، مدیران باید از نماینده سرویس محلی خود برای AP controllerها hotfix درخواست کنند، زیرا این وصله‌ها برای عموم در دسترس نیستند. برای فایروال‌ها، USG/ZyWALL مشکلات مرتبط با میان‌افزارِ نسخه‌ی ۴.۷۲ را برطرف می‌کند، USG FLEX، ATP و VPN باید به ZLD نسخه‌ی ۵.۳۰ ارتقاء یابند و محصولات NSG وصله‌ی امنیتی را از طریق v۱.۳۳ patch ۵ دریافت می‌کنند.

اگرچه این آسیب‌پذیری‌ها حیاتی نیستند، همچنان اکیداً توصیه می‌شود که مدیران شبکه دستگاه‌های خود را در اسرع وقت ارتقا دهند.
کد مطلب : 19080
https://aftana.ir/vdchvvnz.23nw6dftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی