CVE-2020-9054

설명

Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authentication command injection vulnerability, which may allow a remote, unauthenticated attacker to execute arbitrary code on a vulnerable device. ZyXEL NAS devices achieve authentication by using the weblogin.cgi CGI executable. This program fails to properly sanitize the username parameter that is passed to it. If the username parameter contains certain characters, it can allow command injection with the privileges of the web server that runs on the ZyXEL device. Although the web server doe...

영향 제품·버전

공급사 Zyxel

제품 Multiple Network-Attached Storage (NAS) Devices

영향 버전 V5.21(AAZF.7)C0, V5.21(AASZ.3)C0, V5.21(AATB.4)C0, V5.21(ABAG.4)C0, all, V4.75(AALH.2)C0, V4.75(AANV.2)C0, V4.81(AAAJ.1)C0, V4.81(AALS.1)C0, < 5.21\(aazf.7\)c0, < 5.21\(aasz.3\)c0, < 5.21\(aatb.4\)c0, < 5.21\(abag.4\)c0, >= 4.35 < 4.35\(abps.3\)c0, >= 4.35 < 4.35\(abfw.3\)c0, >= 4.35 < 4.35\(abfu.3\)c0, >= 4.35 < 4.35\(abiq.3\)c0, >= 4.35 < 4.35\(abaq.3\)c0, >= 4.35 < 4.35\(abar.3\)c0, >= 4.35 < 4.35\(aala.3\)c0

수정 버전 5.21\(aazf.7\)c0, 5.21\(aasz.3\)c0, 5.21\(aatb.4\)c0, 5.21\(abag.4\)c0, 4.35\(abps.3\)c0, 4.35\(abfw.3\)c0, 4.35\(abfu.3\)c0, 4.35\(abiq.3\)c0, 4.35\(abaq.3\)c0, 4.35\(abar.3\)c0, 4.35\(aala.3\)c0, 4.35\(aalb.3\)c0, 4.35\(aaky.3\)c0, 4.35\(aakz.3\)c0, 4.35\(aaph.3\)c0, 4.35\(aapi.3\)c0, 4.35\(aapj.3\)c0, 4.35\(aapk.3\)c0, 4.35\(aapl.3\)c0, 4.35\(abae.3\)c0

조치 방법

• 공급사가 제공한 최신 보안 업데이트 적용
• 자사 보유 제품과 영향 버전의 일치 여부 확인
• 외부 노출 서비스와 비정상 인증·접속 로그 점검
• 패치가 어려우면 공급사 완화조치와 접근통제 적용

기술 정보

CVSS 벡터 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE CWE-78

KEV 등록일 2022.03.25

랜섬웨어 캠페인 사용 미확인

CISA 비고 https://nvd.nist.gov/vuln/detail/CVE-2020-9054

EPSS 데이터 기준일 2026.06.27