Zyxel a publié des mises à jour logicielles pour corriger une faille de sécurité critique affectant certaines versions de points d’accès (AP) et de routeurs de sécurité qui pourraient entraîner l’exécution de commandes non autorisées.
Suivie sous le numéro CVE-2024-7261 (score CVSS : 9,8), la vulnérabilité a été décrite comme un cas d’injection de commande du système d’exploitation (OS).
« La neutralisation incorrecte d’éléments spéciaux dans le paramètre « hôte » dans le programme CGI de certaines versions de routeurs AP et de sécurité pourrait permettre à un attaquant non authentifié d’exécuter des commandes du système d’exploitation en envoyant un cookie conçu à un appareil vulnérable », a déclaré Zyxel. dit dans un avis consultatif.
Chengchao Ai, de l’équipe ROIS de l’Université de Fuzhou, a été crédité de la découverte et du signalement de la faille.
Zyxel a également expédié Mises à jour pour sept vulnérabilités dans ses routeurs et pare-feu, dont quelques-unes sont très graves, qui pourraient entraîner l’exécution de commandes du système d’exploitation, un déni de service (DoS) ou l’accès aux informations basées sur le navigateur –
- CVE-2024-5412 (score CVSS : 7,5) – Une vulnérabilité de dépassement de tampon dans la bibliothèque « libclinkc » qui pourrait permettre à un attaquant non authentifié de provoquer des conditions de déni de service au moyen d’une requête HTTP spécialement conçue
- CVE-2024-6343 (score CVSS : 4,9) – Une vulnérabilité de dépassement de mémoire tampon qui pourrait permettre à un attaquant authentifié disposant de privilèges d’administrateur de déclencher des conditions de déni de service au moyen d’une requête HTTP spécialement conçue
- CVE-2024-7203 (score CVSS : 7,2) – Une vulnérabilité d’injection de commande post-authentification qui pourrait permettre à un attaquant authentifié disposant de privilèges d’administrateur d’exécuter des commandes du système d’exploitation
- CVE-2024-42057 (score CVSS : 8,1) – Une vulnérabilité d’injection de commande dans la fonctionnalité VPN IPSec qui pourrait permettre à un attaquant non authentifié d’exécuter certaines commandes du système d’exploitation
- CVE-2024-42058 (score CVSS : 7,5) – Une vulnérabilité de déréférencement de pointeur nul qui pourrait permettre à un attaquant non authentifié de provoquer des conditions de déni de service en envoyant des paquets spécialement conçus
- CVE-2024-42059 (score CVSS : 7,2) – Une vulnérabilité d’injection de commande post-authentification qui pourrait permettre à un attaquant authentifié avec des privilèges d’administrateur d’exécuter certaines commandes du système d’exploitation en téléchargeant un fichier de langue compressé conçu via FTP
- CVE-2024-42060 (score CVSS : 7,2) – Une vulnérabilité d’injection de commande post-authentification dans certaines versions de pare-feu pourrait permettre à un attaquant authentifié disposant de privilèges d’administrateur d’exécuter certaines commandes du système d’exploitation
- CVE-2024-42061 (score CVSS : 6,1) – Une vulnérabilité de script intersite (XSS) réfléchie dans le programme CGI « dynamic_script.cgi » qui pourrait permettre à un attaquant d’inciter un utilisateur à visiter une URL conçue avec la charge utile XSS et d’obtenir des informations basées sur le navigateur
Le développement intervient alors que D-Link dit quatre vulnérabilités de sécurité affectant son routeur DIR-846, dont deux vulnérabilités critiques d’exécution de commandes à distance (CVE-2024-44342, score CVSS : 9,8) ne seront pas corrigées en raison de l’arrivée en fin de vie (EoL) des produits en février 2020, ce qui incite les clients à les remplacer par des versions de support.