Zyxel بهروزرسانیهای نرمافزاری را برای رفع نقص امنیتی مهمی که بر روی نقطه دسترسی خاص (AP) و نسخههای روتر امنیتی تأثیر میگذارد، منتشر کرده است که میتواند منجر به اجرای دستورات غیر مجاز شود.
این آسیبپذیری با شناسه CVE-2024-7261 (امتیاز CVSS: 9.8)، به عنوان یک مورد تزریق فرمان سیستم عامل (OS) توصیف شده است. Zyxel در مشاورهای گفت: «خنثیسازی نامناسب عناصر ویژه در پارامتر «host» در برنامه CGI برخی از نسخههای AP و روترهای امنیتی میتواند به یک مهاجم تأیید نشده اجازه دهد تا دستورات سیستم عامل را با ارسال یک کوکی دستساز به دستگاه آسیبپذیر اجرا کند.
Zyxel همچنین بهروزرسانیهایی را برای هشت آسیبپذیری در روترها و فایروالهای خود منتشر کرده است، از جمله آسیبپذیریهای زیر که تعدادی از آنها با شدت بالا میتوانند منجر به اجرای فرمان سیستم عامل، منع سرویس (DoS) یا دسترسی به اطلاعات مبتنی بر مرورگر شوند.
- CVE-2024-42057 (CVSS score: 8.1)
- CVE-2024-5412 (CVSS score: 7.5)
- CVE-2024-7203 (CVSS score: 7.2)
- CVE-2024-42059 (CVSS score: 7.2)
- CVE-2024-42058 (CVSS score: 7.5)
- CVE-2024-42060 (CVSS score: 7.2)
- CVE-2024-42061 (CVSS score: 6.1)
- CVE-2024-6343 (CVSS score: 4.9)
https://thehackernews.com/2024/09/zyxel-patches-critical-os-command.html
