Kritisk sårbarhet i Zyxel-produkter

Zyxel har rättat en kritisk sårbarhet som kan göra det möjligt för en oautentiserad angripare att utföra operativsystemkommandon (OS command injection) genom att skicka en cookie till en sårbar enhet. [1]

Sårbarheten kan uttnyttjas av en angripare för att exempelvis fjärrköra skadlig kod (remote code execution, RCE) eller övertagande av system.

Sårbarheten har beteckningen CVE-2024-7261 med en CVSS-klassning på 9.8. [2]

Påverkade produkter

Tillverkaren tillhandahåller en fullständig lista över påverkade produkter. [1]

Rekommendationer

CERT-SE rekommenderar att följa tillverkarens föreslagna åtgärder och uppdatera sårbara system.

Källor

[1] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7261