Zyxel выпустила патчи для критической уязвимости с удаленным выполнением кода в роутерах
Zyxel устранила критическую уязвимость, позволяющую злоумышленникам удаленно выполнять команды на ряде моделей сетевого оборудования. Проблема получила идентификатор CVE-2025-13942 и затрагивает более десяти моделей устройств.
Речь идет об инъекции команд в функции UPnP в роутерах серий 4G LTE и 5G NR CPE, DSL и Ethernet CPE, оптических терминалах Fiber ONT и беспроводных репитерах. Уязвимость позволяет отправлять специально сформированные UPnP SOAP-запросы и выполнять произвольные команды без прохождения аутентификации. Для успешной эксплуатации требуется, чтобы на устройстве были одновременно активированы UPnP и WAN-доступ, при этом WAN по умолчанию отключен.
Помимо этого, производитель закрыл еще две уязвимости - CVE-2025-13943 и CVE-2026-1459. Они также связаны с инъекцией команд, однако требуют предварительной аутентификации и могут быть использованы при компрометации учетных данных.
По данным платформы мониторинга интернет-устройств Shadowserver, в сети обнаружено около 120 тыс. устройств Zyxel, из которых более 76 тыс. составляют маршрутизаторы. Это увеличивает потенциальную поверхность атаки при отсутствии обновлений.
Ранее представители Zyxel заявляли, что не планируют выпускать патчи для уязвимостей нулевого дня CVE-2024-40890 и CVE-2024-40891, затрагивающих устройства с истекшим сроком поддержки. Вместо обновлений компания рекомендовала пользователям заменить устаревшие модели на новые устройства с актуальными прошивками.
Теги:
похожие материалы
GitHub начал «проваливаться» в России: разработчики жалуются на доступ к репозиториям
В России фиксируют рост проблем с доступом к GitHub - крупнейшей платформе для хранения кода и совместной разработки IT-проектов.
Суд запретил шутки, но РКН не понял, какие именно
Чертановский суд Москвы запретил материалы на трех юмористических сайтах, включая «ЯПлакалъ», «Анекдотов стрит» и «Анекдото.
Аккаунты исчезают вместе с архивами: Claude добрался до российских пользователей
Российские пользователи Claude начали массово жаловаться на блокировку аккаунтов.
Эксперты предупредили о «серых» сайтах, которые могут привести к потере денег и данных
«Лаборатория Касперского» в новом отчёте рассказывает о так называемых «серых» сайтах — ресурсах, которые не относятся к классическим фишинговым, но всё чаще используются для обмана пользователей.
UserGate вошел в топ-5 российских ИТ‑компаний — лидеров технологического развития России
Компания UserGate заняла пятое место среди пятидесяти ведущих российских компаний — лидеров технологического развития страны, работающих в индустрии информационных технологий(ИТ).
«Газинформсервис» — лидер рейтинга АЦ «Эксперт» по сотрудничеству с университетами
Компания «Газинформсервис» заняла первое место в рейтинге ИТ-компаний — лидеров по сотрудничеству с университетами по итогам исследования аналитического центра «Эксперт».
ИИ-агенты будут влиять на выручку бизнеса
По прогнозу IBM и Oxford Economics, к 2030 году главным риском для компаний станет не возможность ошибки, а излишняя осторожность.
Банковский троян научили писать знакомым жертвы от ее имени
Elastic Security Labs обнаружила новый бразильский банковский троян TCLBANKER.
Dirty Frag раскрыли раньше срока: Linux-системы получили риск локального захвата root
В Linux досрочно раскрыли уязвимость Dirty Frag, которая позволяет локальному пользователю повысить привилегии до root на основных дистрибутивах.
