Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
Zyxel製のファイアウォールに深刻な脆弱性が明らかとなった。4月に同社がリリースしたパッチで脆弱性は修正されたが、脆弱性に関する注意喚起など行われておらず、問題が指摘されている。
同社の「USG FLEX」シリーズや「ATP」シリーズ、「VPN」シリーズなどのファームウェアに含まれるCGIプログラムに、OSコマンドインジェクションの脆弱性「CVE-2022-30525」が明らかとなったもの。
リモートよりファイルを変更し、コードを実行することが可能となる脆弱性で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」とレーティングされている。
同社は5月12日にアドバイザリを急遽公開したが、4月28日にリリースしたパッチで告知なしに修正が行われていたという。
今回の修正に関して、同脆弱性を報告したRapid7は、アップデートにあたり調整がなかったことへ不満を示すとともに、利用者へ告知のない「サイレントパッチ」の危険性を指摘している。
Rapid7によると、同脆弱性は同社研究者が4月に発見し、4月13日にZyxelへ報告していた。翌日Zyxelが報告を受領、4月21日に再現性を確認した。
(Security NEXT - 2022/05/13 )
ツイート
PR
関連記事
児童情報を全認定こども園にメール誤送信 - 八王子市
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
過去年度の申請書を誤って廃棄か - 長崎県警
労働力調査の調査世帯一覧表を紛失 - 栃木県
本の雑誌社のXアカウントが乗っ取り被害 - 注意を呼びかけ

