A vulnerabilidade mais séria, rastreada como CVE-2024-7261, pode ser explorada para “permitir que um atacante não autenticado execute comandos do sistema operacional enviando um cookie elaborado para um dispositivo vulnerável”, alertou a Zyxel. A falha, com uma classificação de gravidade de 9.8 de 10, decorre da “neutralização imprópria de elementos especiais no parâmetro ‘host’ no programa CGI” de pontos de acesso vulneráveis e roteadores de segurança. Quase 30 dispositivos Zyxel são afetados. Como é o caso das demais vulnerabilidades neste post, a Zyxel está instando os clientes a corrigi-las o mais rápido possível.
Mas espere… tem mais
O fabricante de hardware alertou sobre sete vulnerabilidades adicionais que afetam a série de firewalls, incluindo ATP, USG-FLEX e USG FLEX 50(W)/USG20(W)-VPN. As vulnerabilidades têm classificações de gravidade que variam de 4.9 a 8.1. As vulnerabilidades são:
Restam 9 parágrafos | Comentários
Redação Confraria Tech.
Referências:
Zyxel warns of vulnerabilities in a wide range of its products