زایکسل یک وصله امنیتی را برای رفع یک آسیبپذیری حیاتی که بر دستگاههای فایروال زایکسل تأثیر میگذارد، منتشر کرده است که به مهاجمان احراز هویت نشده و از راه دور امکان اجرای کد دلخواه را میدهد.
این شرکت در اطلاعیهای که روز پنجشنبه منتشر شد گفت: این آسیبپذیری command injection در CGI برخی از نسخههای فایروال وجود دارد که میتواند به مهاجم اجازه دهد تا فایلهای خاصی را تغییر داده و سپس برخی از دستورات سیستمعامل را روی دستگاه آسیبپذیر اجرا کند.
شرکت امنیت سایبری Rapid7 که این نقص را در 13 آوریل 2022 کشف و گزارش کرد نیز در گزارشی گفت: این ضعف میتواند به یک دشمن احراز هویت نشده اجازه دهد تا کد دلخواه خود را به عنوان کاربر "nobody" روی دستگاههای آسیبدیده اجرا کند.
این نقص با شناسه رهگیری CVE-2022-30525 (امتیاز CVSS: 9.8)، محصولات زیر را که با وصلههای منتشر شده در نسخه ZLD V5.30 بروز شدهاند را آسیبپذیر میکند:
این شرکت در اطلاعیهای که روز پنجشنبه منتشر شد گفت: این آسیبپذیری command injection در CGI برخی از نسخههای فایروال وجود دارد که میتواند به مهاجم اجازه دهد تا فایلهای خاصی را تغییر داده و سپس برخی از دستورات سیستمعامل را روی دستگاه آسیبپذیر اجرا کند.
شرکت امنیت سایبری Rapid7 که این نقص را در 13 آوریل 2022 کشف و گزارش کرد نیز در گزارشی گفت: این ضعف میتواند به یک دشمن احراز هویت نشده اجازه دهد تا کد دلخواه خود را به عنوان کاربر "nobody" روی دستگاههای آسیبدیده اجرا کند.
این نقص با شناسه رهگیری CVE-2022-30525 (امتیاز CVSS: 9.8)، محصولات زیر را که با وصلههای منتشر شده در نسخه ZLD V5.30 بروز شدهاند را آسیبپذیر میکند:
- USG FLEX 100(W), 200, 500, 700
- USG FLEX 50(W) / USG20(W)-VPN
- ATP series
- VPN series