Zyxel met en garde contre les vulnérabilités dans une large gamme de ses produits.

Le fabricant de matériel de réseau Zyxel met en garde contre près d’une douzaine de vulnérabilités dans une large gamme de ses produits. Si elles ne sont pas corrigées, certaines d’entre elles pourraient permettre la prise de contrôle complète des appareils, qui peuvent être ciblés comme point d’entrée initial dans de grands réseaux. La vulnérabilité la plus sérieuse, suivie sous le nom CVE-2024-7261, peut être exploitée pour « permettre à un attaquant non authentifié d’exécuter des commandes OS en envoyant un cookie forgé à un appareil vulnérable », a averti Zyxel. Cette faille, avec un indice de gravité de 9,8 sur 10, découle de la « neutralisation incorrecte des éléments spéciaux dans le paramètre ‘hôte’ du programme CGI » des points d’accès vulnérables et des routeurs de sécurité. Près de 30 appareils Zyxel sont concernés. Comme c’est le cas pour les autres vulnérabilités restantes de cet article, Zyxel recommande à ses clients de les corriger dès que possible. Le fabricant de matériel a mis en garde sur sept vulnérabilités supplémentaires touchant les séries de pare-feu, y compris l’ATP, le USG-FLEX, et le USG FLEX 50(W)/USG20(W)-VPN. Les vulnérabilités ont des indices de gravité allant de 4,9 à 8,1. Les vulnérabilités sont : CVE-2024-6343 : une vulnérabilité de débordement de tampon dans le programme CGI qui pourrait permettre à un attaquant authentifié avec des privilèges d’administrateur de mener une attaque par déni de service en envoyant des requêtes HTTP forgées. CVE-2024-7203 : une vulnérabilité d’injection de commandes post-authentification qui pourrait permettre à un attaquant authentifié avec des privilèges d’administrateur d’exécuter des commandes OS en exécutant une commande CLI forgée.

Share the Post: