Zyxel a publié des correctifs pour corriger quatre failles de sécurité affectant son pare-feu, son contrôleur AP et ses produits AP pour exécuter des commandes arbitraires du système d’exploitation et voler des informations sélectionnées. La liste des vulnérabilités de sécurité est la suivante

– CVE-2022-0734 – Une vulnérabilité de script intersite (XSS) dans certaines versions de pare-feu qui pourrait être exploitée pour accéder à des informations stockées dans le navigateur de l’utilisateur, telles que des cookies ou des jetons de session, via un script malveillant.

CVE-2022-26531 – Plusieurs failles de validation d’entrée dans les commandes de l’interface de ligne de commande (CLI) pour certaines versions du pare-feu, du contrôleur AP et des périphériques AP qui pourraient être exploitées pour provoquer un plantage du système.

CVE-2022-26532 – Une vulnérabilité d’injection de commande dans la commande CLI « packet-trace » pour certaines versions de pare-feu, contrôleur AP et périphériques AP qui pourrait conduire à l’exécution de commandes OS arbitraires.

CVE-2022-0910 – Une vulnérabilité de contournement d’authentification affectant certaines versions de pare-feu qui pourrait permettre à un attaquant de passer d’une authentification à deux facteurs à une authentification à un facteur via un client VPN IPsec.

Bien que Zyxel ait publié des correctifs logiciels pour les pare-feu et les périphériques AP, le correctif pour les contrôleurs AP affectés par CVE-2022-26531 et CVE-2022-26532 ne peut être obtenu qu’en contactant les équipes de support Zyxel locales respectives. Le développement intervient alors qu’une faille critique d’injection de commandes dans certaines versions des pare-feu Zyxel (CVE-2022-30525, score CVSS : 9,8) a fait l’objet d’une exploitation active, incitant la U.S. Cybersecurity and Infrastructure Security Agency à ajouter le bogue à ses vulnérabilités exploitées connues. Catalogue.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *