CVE-2023-27992
CVE-2023-27992
En resumen
Una falla en dispositivos Zyxel NAS permite que cualquier persona en la red ejecute comandos dañinos en el dispositivo sin necesidad de contraseña, enviando una solicitud web especialmente diseñada. Esto puede llevar al compromiso total del dispositivo y robo de datos.
Detalle técnico
Inyección de comandos pre-autenticación en dispositivos Zyxel NAS326, NAS540 y NAS542 permite que atacantes no autenticados ejecuten comandos arbitrarios del sistema operativo mediante solicitudes HTTP manipuladas. La vulnerabilidad afecta versiones de firmware anteriores a parches específicos y no requiere autenticación previa, resultando en compromiso completo del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AAZF.14)C0, NAS540 firmware versions prior to V5.21(AATB.11)C0, and NAS542 firmware versions prior to V5.21(ABAG.11)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands remotely by sending a crafted HTTP request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →