0x01

漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

公开

公开

未知

未知

0x02

漏洞描述

ZyXEL USG FLEX 等都是中国台湾合勤(ZyXEL)公司的防火墙产品。

2022年5月12日, Zyxel发布安全公告,修复了一个存在于部分防火墙版本的CGI程序中的命令注入漏洞。漏洞编号:CVE-2022-30525,漏洞威胁等级:严重,漏洞评分:9.8。

Zyxel 防火墙中的命令注入漏洞

Zyxel 防火墙中的命令注入漏洞

漏洞编号

CVE-2022-30525 

漏洞类型

命令注入

漏洞等级

严重(9.8)

公开状态

公开

在野利用

未知

漏洞描述

该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。

0x03

漏洞等级

严重(9.8)

0x04

影响版本

ATP系列固件:5.10-5.21 Patch 1

VPN系列固件:4.60-5.21 Patch 1

USG FLEX 100(W)、200、500、700:5.00-5.21 Patch 1

USG FLEX 50(W)/USG20(W)-VPN:5.10-5.21 Patch 1

0x05

修复建议

临时防护方案

禁用对受影响产品的管理Web界面的 WAN 访问。

正式防护方案

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:ZLD V5.30。下载链接如下:

https://www.zyxel.com/support/download_landing.shtml

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。