合勤科技(zyxel)本周发布固件更新,以修补其网络附加存储(nas)设备固件中一个可让攻击者远程执行程序代码的重大漏洞。
最新修补的漏洞编号cve-2022-34747,是一个格式化字符串漏洞(format string)漏洞,发生于合勤nas产品中的某个二进制程序,能让非授权攻击者改写udp封包的格式化字符串加以开采,达到远程执行程序代码的目的。
最新漏洞是由研究人员shaposhnikov ilya通报。根据nist数据库,cve-2022-34747风险值高达9.8。
合勤指出,经过调查,受本漏洞影响的nas产品有三,分别是nas326、nas540和nas542。合勤于本周二(9/6)发布5.21版本解决,呼吁用户尽快安装。