Zyxel ha lanzado actualizaciones de software para abordar una falla de seguridad crítica que afecta a ciertas versiones de puntos de acceso (AP) y enrutadores de seguridad que podrían provocar la ejecución de comandos no autorizados.
La vulnerabilidad, identificada como CVE-2024-7261 (puntuación CVSS: 9,8), ha sido descrita como un caso de inyección de comandos del sistema operativo (SO).
“La neutralización incorrecta de elementos especiales en el parámetro ‘host’ en el programa CGI de algunas versiones de AP y enrutadores de seguridad podría permitir que un atacante no autenticado ejecute comandos del sistema operativo enviando una cookie diseñada a un dispositivo vulnerable”, dijo Zyxel dicho en un aviso.
A Chengchao Ai, del equipo ROIS de la Universidad de Fuzhou, se le atribuye el descubrimiento y el informe de la falla.
Zyxel también tiene enviado actualizaciones por siete vulnerabilidades en sus enrutadores y firewalls, incluidas algunas de alta gravedad, que podrían resultar en la ejecución de comandos del sistema operativo, una denegación de servicio (DoS) o acceso a información basada en el navegador.
- CVE-2024-5412 (puntuación CVSS: 7,5): una vulnerabilidad de desbordamiento de búfer en la biblioteca “libclinkc” que podría permitir que un atacante no autenticado provoque condiciones de denegación de servicio (DoS) mediante una solicitud HTTP especialmente diseñada.
- CVE-2024-6343 (puntuación CVSS: 4,9): una vulnerabilidad de desbordamiento de búfer que podría permitir que un atacante autenticado con privilegios de administrador active condiciones de denegación de servicio (DoS) mediante una solicitud HTTP especialmente diseñada.
- CVE-2024-7203 (puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos posterior a la autenticación que podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo.
- CVE-2024-42057 (puntuación CVSS: 8,1): una vulnerabilidad de inyección de comandos en la función VPN IPSec que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo.
- CVE-2024-42058 (puntuación CVSS: 7,5): una vulnerabilidad de desreferencia de puntero nulo que podría permitir que un atacante no autenticado provoque condiciones de denegación de servicio (DoS) mediante el envío de paquetes diseñados específicamente.
- CVE-2024-42059 (puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos posterior a la autenticación que podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo cargando un archivo de idioma comprimido a través de FTP.
- CVE-2024-42060 (puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos posterior a la autenticación en algunas versiones de firewall podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo.
- CVE-2024-42061 (puntuación CVSS: 6,1): una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en el programa CGI “dynamic_script.cgi” que podría permitir a un atacante engañar a un usuario para que visite una URL diseñada con la carga útil XSS y obtenga información basada en el navegador.
El desarrollo llega como D-Link dicho cuatro vulnerabilidades de seguridad que afectan a su enrutador DIR-846, contando dos vulnerabilidades críticas de ejecución de comandos remotos (CVE-2024-44342, puntuación CVSS: 9.8) no serán parcheadas debido a que los productos alcanzaron el estado de fin de vida útil (EoL) de febrero de 2020, instando a los clientes a reemplazarlos con versiones de soporte.