Zyxel lanza actualizaciones críticas de seguridad para puntos de acceso y enrutadores
Zyxel ha lanzado actualizaciones de software para abordar una falla de seguridad crítica que afecta ciertas versiones de puntos de acceso (AP) y enrutadores de seguridad que podría resultar en la ejecución de comandos no autorizados.
La vulnerabilidad, rastreada como CVE-2024-7261 con una puntuación CVSS de 9.8, ha sido descrita como un caso de inyección de comandos de sistema operativo (OS). Según un aviso de Zyxel, la neutralización inapropiada de elementos especiales en el parámetro ‘host’ en el programa CGI de algunas versiones de AP y enrutadores de seguridad podría permitir a un atacante no autenticado ejecutar comandos OS mediante el envío de una cookie manipulada a un dispositivo vulnerable.
Chengchao Ai del equipo ROIS de la Universidad de Fuzhou ha sido acreditado por descubrir y reportar la falla. Zyxel también ha enviado actualizaciones para siete vulnerabilidades en sus enrutadores y firewalls, incluidas algunas que son de alto riesgo, que podrían resultar en la ejecución de comandos OS, un ataque de denegación de servicio (DoS) o el acceso a información basada en el navegador.
En contraste, D-Link anunció que cuatro vulnerabilidades de seguridad que afectan a su enrutador DIR-846, incluidas dos vulnerabilidades críticas de ejecución remota de comandos (CVE-2024-44342, puntuación CVSS: 9.8), no serán parcheadas debido a que los productos llegaron al estado de fin de vida (EoL) en febrero de 2020, instando a los clientes a reemplazarlos con versiones con soporte.
Vía The Hacker News
