合勤科技敦促其网络附加存储（NAS）设备用户实施修补程序，以解决一个关键且容易被利用的命令注入漏洞（CVE-2024-6342），该漏洞存在于合勤NAS326和NAS542设备的export-cgi程序中，可由未经身份验证的攻击者通过特制的HTTP POST请求触发，并可能允许他们执行某些操作系统命令。

🤔 **漏洞概述:** CVE-2024-6342是合勤NAS326和NAS542设备的export-cgi程序中的一个漏洞，攻击者可以通过特制的HTTP POST请求触发该漏洞，从而执行操作系统命令。

🛡️ **安全风险:** 该漏洞可能导致攻击者获得对设备的控制权，进而窃取数据、进行恶意软件传播或发起其他攻击。

💡 **紧急修复:** 合勤科技已发布了热修复程序，建议所有用户尽快安装，以确保设备的安全。

🚨 **攻击目标:** NAS设备是网络犯罪分子的诱人目标，因为它们通常存储着敏感数据。今年早些时候，发现了一个类似Mirai的僵尸网络，试图利用另一个命令注入漏洞（CVE-2024-29973），合勤科技已在这些相同的停产NAS设备中修复了该漏洞。

⚠️ **用户建议:** 用户应立即安装修补程序，并采取其他安全措施，例如更改默认密码、启用双重身份验证和使用强密码。

⚠️ **其他建议:** 用户应定期更新设备固件，并使用可靠的杀毒软件。

⚠️ **重要提示:** 即使设备已达到漏洞终止支持，也应安装修补程序，以获得最佳保护。

敦促 Zyxel 网络附加存储 （NAS） 设备的用户实施修补程序，以解决一个关键且容易被利用的命令注入漏洞 （CVE-2024-6342）。关于 CVE-2024-6342合勤科技 NAS 设备通常被中小型企业 （SMB） 用于数据存储和备份。CVE-2024-6342 – 由 Nanyu Zhong 和 Jinwei Dong 从 VARAS@IIE 报告 – 是合勤 NAS326 和 NAS542 设备的 export-cgi 程序中的一个漏洞，可由未经身份验证的攻击者通过特制的 HTTP POST 请求触发，并可能允许他们执行某些操作系统命令。“由于漏洞的严重性，Zyxel 已向客户提供热修复，如下表所示，尽管这些产品已经达到漏洞终止支持，”该公司表示。Zyxel 没有说明该漏洞是否正在被积极利用，但敦促用户安装修补程序“以获得最佳保护”。NAS 设备是网络犯罪分子的诱人目标。今年早些时候，发现了一个类似 Mirai 的僵尸网络，试图利用另一个命令注入漏洞 （CVE-2024-29973），合勤科技已在这些相同的停产 NAS 设备中修复了该漏洞。