合勤科技(Zyxel)本周发布固件更新,以修补其网络附加存储(NAS)设备固件中一个可让攻击者远程执行程序代码的重大漏洞。
最新修补的漏洞编号CVE-2022-34747,是一个格式化字符串漏洞(format string)漏洞,发生于合勤NAS产品中的某个二进制程序,能让非授权攻击者改写UDP封包的格式化字符串加以开采,达到远程执行程序代码的目的。
最新漏洞是由研究人员Shaposhnikov Ilya通报。根据NIST数据库,CVE-2022-34747风险值高达9.8。
合勤指出,经过调查,受本漏洞影响的NAS产品有三,分别是NAS326、NAS540和NAS542。合勤于本周二(9/6)发布5.21版本解决,呼吁用户尽快安装。
