Jinwei Dong

**Nome do software vulnerável e versões afetadas** Versões do Zyxel NAS326 até a V5.21(AAZF.18)C0 Versões do Zyxel NAS542 até a V5.21(ABAG.15)C0 **Descrição** Uma vulnerabilidade de injeção de comando no programa export-cgi do firmware do Zyxel NAS326 e NAS542 pode permitir que um invasor não autenticado execute alguns comandos do sistema operacional (SO) enviando uma solicitação HTTP POST maliciosa. A vulnerabilidade existe no programa export-cgi e permite que um invasor execute remotamente comandos do sistema operacional. **Recomendações** Para as versões do Zyxel NAS326 até a V5.21(AAZF.18)C0, aplique a correção de emergência (hotfix) lançada pela Zyxel para corrigir a vulnerabilidade de injeção de comando. Para as versões do Zyxel NAS542 até a V5.21(ABAG.15)C0, aplique a correção de emergência (hotfix) lançada pela Zyxel para corrigir a vulnerabilidade de injeção de comando. Como solução alternativa temporária, considere desativar o programa export-cgi até que um patch esteja disponível. Restrinja o acesso ao programa export-cgi vulnerável para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Série Zyxel ATP, versões V4.32 a V5.38 Série Zyxel USG FLEX, versões V4.50 a V5.38 Série Zyxel USG FLEX 50(W), versões V4.16 a V5.38 Versões da série Zyxel USG20(W)-VPN de V4.16 a V5.38 **Descrição** Uma vulnerabilidade de estouro de buffer no programa CGI pode permitir que um invasor autenticado com privilégios de administrador provoque condições de negação de serviço (DoS) ao enviar uma solicitação HTTP maliciosa a um dispositivo vulnerável. A vulnerabilidade está relacionada à falta de verificação do tamanho dos dados de entrada, o que pode ser explorado por um invasor remoto para causar uma negação de serviço. **Recomendações** Para as versões V4.32 a V5.38 da série Zyxel ATP, atualize para uma versão que corrija a vulnerabilidade de estouro de buffer no programa CGI. Para as versões V4.50 a V5.38 da série Zyxel USG FLEX, atualize para uma versão que corrija a vulnerabilidade de estouro de buffer no programa CGI. Para as versões V4.16 a V5.38 da série Zyxel USG FLEX 50(W), atualize para uma versão que corrija a vulnerabilidade de estouro de buffer no programa CGI. Para as versões V4.16 a V5.38 da série Zyxel USG20(W)-VPN, atualize para uma versão que corrija a vulnerabilidade de estouro de buffer no programa CGI. Como solução alternativa temporária, considere restringir o acesso ao programa CGI para minimizar o risco de exploração.