[TLP:CLEAR] Zyxel opravuje 2 zranitelnosti
Zyxel opravuje 2 zranitelnosti v konkrétních verzích firmwaru svých produktů: - 4G LTE/5G NR CPE - DSL/Ethernet CPE - Fiber ONTs - Security Routers - Wireless Extenders Přehlednou tabulku všech opravených verzí a příslušných zařízení naleznete na [1].
Autentizovanému vzdálenému útočníkovi je skrze některé verze firmwaru DSL/Ethernet CPE, Fiber ONTs a Wireless Extenders umožněno spouštět příkazy na operačním systému postiženého zařízení [1][2]. Přístup z WAN je na těchto zařízeních ve výchozím nastavení zakázán, což snižuje riziko zneužití zranitelnosti, navíc je nutné kompromitovat silné uživatelské heslo [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-8693 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 11. 2025.
Neautentizovanému vzdálenému útočníkovi je umožněno vykonat útok DoS (Slowloris) na webová administrátorská rozhraní některých verzí firmwarů 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs, Security Routers a Wireless Extenders [1][3].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2025-6599 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 11. 2025.
Odkazy
- [1] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-uncontrolled-resource-consumption-and-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-security-routers-and-wireless-extenders-11-18-2025
- [2] https://www.cve.org/CVERecord?id=CVE-2025-8693
- [3] https://www.cve.org/CVERecord?id=CVE-2025-6599
Za CESNET-CERTS Michaela Ručková dne 24. 11. 2025.
