A Zyxel lançou atualizações de segurança para resolver uma falha crítica de segurança em seus dispositivos de armazenamento conectado à rede (NAS) que poderia resultar na execução de comandos arbitrários em sistemas afetados.

Rastreado como CVE-2023-27992 (pontuação CVSS: 9.8), o problema foi descrito como uma vulnerabilidade de injeção de comando de pré-autenticação.

“A vulnerabilidade de injeção de comando de pré-autenticação em alguns dispositivos NAS da Zyxel pode permitir que um invasor não autenticado execute alguns comandos do sistema operacional (SO) remotamente enviando uma solicitação HTTP criada”, disse a Zyxel em um comunicado.

O alerta surge duas semanas depois da CISA ter adicionado duas falhas nos firewalls Zyxel (CVE-2023-33009 e CVE-2023-33010) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, com base em evidências de exploração ativa.