Zyxel исправила критическую уязвимость форматной строки под идентификатором CVE-2022-34747 (имеет оценку 9.8 из 10 по шкале CVSS). Обнаружил и сообщил о бреши в защите специалист Илья Шапошников. В сообщении компании, выпущенном 6 сентября, говорится, что уязвимость была обнаружена в определенных двоичных файлах сетевых накопителей от Zyxel и позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код через специально созданный UDP-пакет.
Уязвимость затрагивает следующие продукты Zyxel:
NAS326 (V5.21(AAZF.11)C0 и более ранние версии);
NAS540 (V5.21(AATB.8)C0 и более ранние версии);
NAS542 (V5.21(ABAG.8)C0 и более ранние версии).
Это далеко не первое исправление опасной уязвимости в продуктах от Zyxel в этом году. Ранее компания втихую исправила критическую уязвимость в своих межсетевых экранах и предупреждала администраторов о множественных уязвимостях в своих продуктах.