Zyxel针对影响AP、API控制器和防火墙设备的4个新缺陷发布修补程序

Zyxel发布了修补程序，以解决影响其防火墙、AP控制器和AP产品的四个安全缺陷，从而执行任意操作系统命令并窃取所选信息。

安全漏洞列表如下

• 某些防火墙版本中存在跨站点脚本（XSS）漏洞，可利用该漏洞通过恶意脚本访问存储在用户浏览器中的信息，如cookie或会话令牌。

• 某些版本的防火墙、AP控制器和AP设备的命令行界面（CLI）命令中存在多个输入验证缺陷，这些缺陷可能被利用而导致系统崩溃。

• 某些版本的防火墙、AP控制器和AP设备的“packet trace”CLI命令中存在命令注入漏洞，可能导致执行任意OS命令。
• 一个身份验证绕过漏洞，影响选定的防火墙版本，允许攻击者通过IPsec VPN客户端从双因素身份验证降级为单因素身份验证。

虽然Zyxel已经发布了防火墙和AP设备的软件补丁，但受CVE-2022-26531和CVE-2022-26532影响的AP控制器的修补程序只能通过联系各自的本地Zyxel支持团队获得。

此次开发是因为Zyxel防火墙（CVE-2022-30525，CVSS分数：9.8）的部分版本中存在一个关键的命令注入漏洞，该漏洞已被积极利用，促使美国网络安全和基础设施安全局将该漏洞添加到其已知被利用的漏洞目录中。