鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Zyxel 防火墙 & AP装备多个清静误差

宣布时间 2022-05-26

0x00 误差概述

合勤科技(Zyxel Communications Corp.)是一家跨国宽带接入解决计划提供商。。。。。

2022年5月24日，，，，，，，Zyxel宣布清静通告，，，，，，，修复了其防火墙、AP 控制器和 AP装备中的多个清静误差，，，，，，，这些误差可能导致身份验证绕过、信息泄露、拒绝效劳或下令执行。。。。。

0x01 误差详情

Zyxel此次共修复了影响其多个产品型号的4个误差，，，，，，，详情如下：

CVE-2022-0734：Zyxel防火墙跨站剧本误差（中危）

Zyxel某些防火墙版本的 CGI 程序中保存跨站剧本误差，，，，，，，可通过恶意剧本获取存储在用户浏览器中的某些信息，，，，，，，如 cookie 或会话令牌。。。。。

CVE-2022-26531：Zyxel防火墙 & AP装备缓冲区溢出误差（中危）

Zyxel某些防火墙、AP控制器和AP装备的某些CLI下令中保存不准确的输入验证误差，，，，，，，可通过恶意Payload造成缓冲区溢出或系统瓦解。。。。。

CVE-2022-26532：Zyxel防火墙 & AP装备下令注入误差（高危）

Zyxel某些防火墙、AP控制器和AP装备的“packet-trace”CLI 下令中保存下令注入误差，，，，，，，可通过在下令中包括全心设计的参数来执行恣意系统下令。。。。。

CVE-2022-0910：Zyxel防火墙身份验证绕过误差（中危）

由于缺乏适当的会见控制机制，，，，，，，Zyxel某些防火墙版本的CGI程序中保存身份验证绕过误差，，，，，，，可通过 IPsec VPN 客户端从双因素身份验证降级为单因素身份验证。。。。。

0x02 清静建议

现在这些误差已经修复，，，，，，，建议受影响用户参考下表实时升级更新到修复版本：

防火墙装备	受影响版本				修复版本
防火墙装备	CVE-2022-0734	CVE-2022-26531	CVE-2022-26532	CVE-2022-0910	修复版本
USG/ZyWALL	ZLD V4.35~V4.70	ZLD V4.09~V4.71	ZLD V4.09~V4.71	ZLD V4.32~V4.71	ZLD V4.72
USG FLEX	ZLD V4.50~V5.20	ZLD V4.50~V5.21	ZLD V4.50~V5.21	ZLD V4.50~V5.21	ZLD V5.30
ATP	ZLD V4.35~V5.20	ZLD V4.32~V5.21	ZLD V4.32~V5.21	ZLD V4.32~V5.21	ZLD V5.30
VPN	ZLD V4.35~V5.20	ZLD V4.30~V5.21	ZLD V4.30~V5.21	ZLD V4.32~V5.21	ZLD V5.30
NSG	不受影响	V1.00~V1.33 Patch 4	V1.00~V1.33 Patch 4	不受影响	V1.33 Patch 5

AP 控制器	受影响版本	修复版本
	CVE-2022-26531 和CVE-2022-26532
NXC2500	6.10(AAIG.3) 及更早版本	联系售后
NXC5500	6.10(AAOS.3) 及更早版本

AP装备	受影响版本	修复版本
AP装备	CVE-2022-26531 和 CVE-2022-26532	修复版本
NAP203	6.25(ABFA.7) 及更早版本	6.25(ABFA.8)
NAP303	6.25(ABEX.7) 及更早版本	6.25(ABEX.8)
NAP353	6.25(ABEY.7) 及更早版本	6.25(ABEY.8)
NWA50AX	6.25(ABYW.5) 及更早版本	6.25(ABYW.8)
NWA55AXE	6.25(ABZL.5) 及更早版本	6.25(ABZL.8)
NWA90AX	6.27(ACCV.2) 及更早版本	6.27(ACCV.3)
NWA110AX	6.30(ABTG.2) 及更早版本	6.30(ABTG.3)
NWA210AX	6.30(ABTD.2) 及更早版本	6.30(ABTD.3)
NWA1123-AC-HD	6.25(ABIN.6) 及更早版本	6.25(ABIN.8)
NWA1123-AC-PRO	6.25(ABHD.7) 及更早版本	6.25(ABHD.8)
NWA1123ACv3	6.30(ABVT.2) 及更早版本	6.30(ABVT.3)
NWA1302-AC	6.25(ABKU.6) 及更早版本	6.25(ABKU.8)
NWA5123-AC-HD	6.25(ABIM.6) 及更早版本	6.25(ABIM.8)
WAC500H	6.30(ABWA.2) 及更早版本	6.30(ABWA.3)
WAC500	6.30(ABVS.2) 及更早版本	6.30(ABVS.3)
WAC5302D-S	6.10(ABFH.10) 及更早版本	联系售后
WAC5302D-Sv2	6.25(ABVZ.6) 及更早版本	6.25(ABVZ.8)
WAC6103D-I	6.25(AAXH.7) 及更早版本	6.25(AAXH.8)
WAC6303D-S	6.25(ABGL.6) 及更早版本	6.25(ABGL.8)
WAC6502D-E	6.25(AASD.7) 及更早版本	6.25(AASD.8)
WAC6502D-S	6.25(AASE.7) 及更早版本	6.25(AASE.8)
WAC6503D-S	6.25(AASF.7) 及更早版本	6.25(AASF.8)
WAC6553D-E	6.25(AASG.7) 及更早版本	6.25(AASG.8)
WAC6552D-S	6.25(ABIO.7) 及更早版本	6.25(ABIO.8)
WAX510D	6.30(ABTF.2) 及更早版本	6.30(ABTF.3)
WAX610D	6.30(ABTE.2) 及更早版本	6.30(ABTE.3)
WAX630S	6.30(ABZD.2) 及更早版本	6.30(ABZD.3)
WAX650S	6.30(ABRM.2) 及更早版本	6.30(ABRM.3)

下载链接：

https://www.zyxel.com/

0x03 参考链接

https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml

https://nvd.nist.gov/vuln/detail/CVE-2022-26531

0x04 版本信息

版本	日期	修改内容
V1.0	2022-05-26	首次宣布

0x05 附录

鉴黑担保网简介

鉴黑担保网公司建设于1996年，，，，，，，并于2010年6月23日在深交所中小板正式挂牌上市，，，，，，，是海内极具实力的、拥有完全自主知识产权的网络清静产品、可信清静治理平台、清静效劳与解决计划的综合提供商。。。。。

公司总部位于北京市中关村软件园，，，，，，，在天下各省、市、自治区设有分支机构，，，，，，，拥有笼罩天下的渠道系统和手艺支持中心，，，，，，，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。。。。。

多年来，，，，，，，鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，，，，，，资助客户周全提升其IT基础设施的清静性和生产效能，，，，，，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。。。

关于鉴黑担保网

鉴黑担保网清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。。。

关注以下公众号，，，，，，，获取全球最新清静资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】