Уязвимость в маршрутизаторах Zyxel позволяет выполнять произвольные команды операционной системы устройств через специально подготовленный cookie-файл. Вендор зарегистрировал данную проблему (CVE -2024-7261) и уже выпустил патч.
По данным издания HelpNetSecurity, ошибку обнаружил исследователь Ченгао Ай из Университета Фучжоу (Китай).
Корень CVE -2024-7261 кроется в некорректной нейтрализации спецэлементов, присутствующих в параметре «host» CGI-программы, и затрагивает отбельные версии точек доступа и роутеров от Zyxel.
Она затрагивает 5 версий прошивок: Zyxel NWA1123ACv3 6.70 (ABVT.4) и более ранние, WAC500 6.70 (ABVS.4) и более ранние, WAX655E версии 7.00 (ACDO.1) и более ранние, WBE530 7.00 (ACLE.1) и более ранние, USG LITE 60AX V2.00 (ACIP.2).
Эксплуатация уязвимости чревата перехватом контроля над устройством и включением его в ботнет для DDoS-атак.
Исправление выпущено для всех, и вендор советует установить его как можно раньше.
Однако если устройство получено от поставщика услуг, Zyxel рекомендует обратиться в службу поддержки интернет-провайдера, чтобы сохранить индивидуальные настройки.
Помимо указанной уязвимости, Zyxel исправил еще 7 опасных ошибок в устройствах для сегмента СМБ.