兆勤為已終止支援的NAS設備修補重大層級漏洞

9月10日兆勤（Zyxel Networks）發布資安公告，指出旗下的NAS設備NAS326、NAS542存在重大層級的漏洞CVE-2024-6342，此為命令注入漏洞，CVSS風險評分達到9.8（滿分10分）。

這項漏洞發生在NAS設備的export-cgi程式，攻擊者可在未經身分驗證的情況下，藉由發送特製的HTTP POST請求，就有機會執行部分作業系統層級的命令，影響執行5.21(AAZF.18)C0版及之前版本韌體的NAS326，以及執行5.21(ABAG.15)C0與之前版韌體的NAS542。

值得留意的是，上述兩款設備兆勤去年底已終止相關漏洞的支援，但有鑑於漏洞相當嚴重，他們還是破例發布修補程式。