La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. el lunes agregado<\/a> dos fallas de seguridad, incluida la falla de ejecuci\u00f3n remota de c\u00f3digo recientemente revelada que afecta a los firewalls Zyxel, a su Cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a>citando evidencia de explotaci\u00f3n activa.<\/p>\n Rastreada como CVE-2022-30525, la vulnerabilidad tiene una clasificaci\u00f3n de gravedad de 9.8 y se relaciona con una falla de inyecci\u00f3n de comandos en versiones seleccionadas del firewall Zyxel que podr\u00eda permitir que un adversario no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente.<\/p>\n Los dispositivos afectados incluyen:<\/p>\n El problema, para el cual la firma taiwanesa lanz\u00f3 parches a fines de abril (ZLD V5.30), se hizo p\u00fablico el 12 de mayo luego de un proceso de divulgaci\u00f3n coordinado con Rapid7.<\/p>\n Apenas un d\u00eda despu\u00e9s, la Fundaci\u00f3n Shadowserver dicho<\/a> comenz\u00f3 a detectar intentos de explotaci\u00f3n, con la mayor\u00eda de los dispositivos vulnerables ubicados en Francia, Italia, EE. UU., Suiza y Rusia.<\/p>\n Tambi\u00e9n a\u00f1adido por CISA al cat\u00e1logo es CVE-2022-22947<\/a>otra vulnerabilidad de inyecci\u00f3n de c\u00f3digo en Spring Cloud Gateway que podr\u00eda explotarse para permitir la ejecuci\u00f3n remota arbitraria en un host remoto mediante una solicitud especialmente dise\u00f1ada.<\/p>\n La vulnerabilidad tiene una calificaci\u00f3n de 10 sobre 10 en el sistema de calificaci\u00f3n de vulnerabilidad CVSS y desde entonces ha sido dirigido<\/a> en Spring Cloud Gateway versiones 3.1.1 o posterior y 3.0.7 o posterior a partir de marzo de 2022.<\/p>\n <\/p>\n<\/div>\n\n