Kritische Sicherheitslücke in Zyxel-Geräten ermöglicht OS-Befehlsausführung
Zyxel hat eine kritische Sicherheitslücke in mehreren seiner Geräte gemeldet, darunter NWA1123ACv3, WAC500, WAX655E, WBE530 und USG LITE 60AX. Die Schwachstelle CVE-2024-7261, die in den Firmware-Versionen 6.70(ABVT.4) und früher, 6.70(ABVS.4) und früher, 7.00(ACDO.1) und früher, 7.00(ACLE.1) und früher sowie V2.00(ACIP.2) und früher vorhanden ist, ermöglicht es einem nicht authentifizierten Angreifer, OS-Befehle auszuführen, indem er manipulierte Cookies an ein anfälliges Gerät sendet.
Die Sicherheitslücke wird als “OS Command Injection” (CWE-78) klassifiziert und hat eine CVSS-Bewertung von 9.8, was sie als “kritisch” einstuft. Nutzern wird dringend empfohlen, ihre Geräte auf die neuesten Firmware-Versionen zu aktualisieren, um diese Sicherheitslücke zu schließen.