組件介紹
Zyxel USG FLEX是中國Zyxel公司的一款防火墻,可以提供靈活的 VPN 選項(xiàng),為遠(yuǎn)程工作和管理提供靈活的安全遠(yuǎn)程訪問。
漏洞描述
近日,監(jiān)測到一則Zyxel USG FLEX組件存在越界訪問漏洞的信息,漏洞編號:CVE-2022-30525,漏洞威脅等級:嚴(yán)重。
該漏洞是由于特定路徑處理json格式的傳入數(shù)據(jù)時(shí)存在錯(cuò)誤,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行系統(tǒng)命令注入攻擊,最終執(zhí)行任意代碼。
影響范圍
Zyxel USG FLEX是一款企業(yè)級防火墻產(chǎn)品,通常用于企業(yè)網(wǎng)絡(luò)的出口部分??赡苁苈┒从绊懙馁Y產(chǎn)廣泛分布于世界各地,在國內(nèi)主要應(yīng)用于浙江、北京、上海等地區(qū)。此漏洞危險(xiǎn)性高,但是用戶數(shù)量較廣泛,漏洞影響力較大。
目前受影響的Zyxel USG FLEX版本:
5.00 ≤ Zyxel ≤ 5.21