یک آسیبپذیری با شناسه CVE-2023-5593 و شدت 7.8 در Zyxel شناسایی شد. این آسیبپذیری بهدلیل نوشتن خارج از محدوده در حافظه (out-of-bounds write) به مهاجم محلی این امکان را میدهد تا با ارسال یک پیام CREATE دستکاری شده، سطح دسترسی خود را افزایش دهد. این نقص امنیتی بر عملکرد ناشناخته مؤلفه CREATE Message Handler تأثیر میگذارد. دستکاری ورودی ناشناخته (ورودی مخرب) منجر به آسیبپذیری نوشتن خارج از محدوده میشود و دادهها قبل از پایان یا قبل از شروع در بافر مورد نظر نوشته میشوند. این امر بر محرمانگی، یکپارچگی و در دسترس بودن دادهها تأثیر میگذارد.
محصولات تحت تأثیر
آسیبپذیری مذکور محصول Zyxel شامل نرمافزار SecuExtender SSL VPN Client مبتنی بر ویندوز (Windows-based) نسخه 4.0.4.0 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء SecuExtender SSL VPN Client (Windows-based) به نسخه 4.0.5.0 اقدام نمایند.
منبع خبر:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-out-of-boun…
- 47