合勤修补多项产品固件漏洞,包括1项风险值9.8分的重大漏洞

合勤(Zyxel)本周公布安全公告,通知客户影响其不同产品线的5项漏洞,呼吁用户尽快更新固件。

这5项漏洞是由Positive Technologies发现并通报,涵盖3项缓冲溢出、指令注入,以及验证不当漏洞各1项。而在3项缓冲溢出漏洞中,CVE-2022-43389影响NR7101固件中的Web服务器函数库,可让未经授权的攻击者以恶意HTTP调用执行OS指令或造成拒绝服务(Denial of Service,DoS)攻击。CVE-2022-43391和CVE-2022-43392则是影响NR7101同一固件的CGI程序参数,经过验证的攻击者可发送恶意HTTP调用,造成DoS攻击。

3项漏洞以CVE-2022-43389风险最高,达9.8分。CVE-2022-43391及CVE-2022-43392则各为6.5分。

一项指令注入漏洞是CVE-2022-43390,也是出现在NR7101固件CGI程序上,获验证的攻击者可发送恶意HTTP调用而在OS上执行指令。验证不当漏洞则是2022-43393,出在Zyxel GS1920-24v2固件HTTP调用处理函数对特殊或例外条件检测不当,造成未经授权攻击者发送恶意HTTP调用,引发内存毁损及DoS攻击。

CVE-2022-43390及CVE-2022-43393也都是重大漏洞,风险值各为8.8分及8.2分。

合勤指出,CVE-2022-43389及CVE-2022-43392影响其CPE、光纤ONT和WiFi延伸器,而CVE-2022-43393影响的是兆勤科技交换机。合勤已发布更新版固件,呼吁用户尽快更新。