A Zyxel lançou atualizações de software para corrigir uma falha crítica de segurança que afeta alguns modelos de pontos de acesso e roteadores de segurança. Essa vulnerabilidade, rastreada como CVE-2024-7261, tem uma pontuação CVSS de 9.8 e permite que atacantes não autenticados executem comandos não autorizados no sistema.

De acordo com a Zyxel, o problema está relacionado à injeção de comandos no sistema operacional (OS) devido à neutralização inadequada de elementos especiais no parâmetro “host” em um programa CGI. Ao enviar um cookie malicioso para um dispositivo vulnerável, um atacante pode explorar essa falha para executar comandos no OS sem a necessidade de autenticação.

O pesquisador Chengchao Ai foi creditado por descobrir e relatar a vulnerabilidade. Além dessa falha crítica, a Zyxel também corrigiu outras sete vulnerabilidades em seus roteadores e firewalls, algumas com severidade elevada. Essas vulnerabilidades podem resultar na execução de comandos no sistema operacional, condições de negação de serviço (DoS) ou na exposição de informações armazenadas no navegador.

Enquanto a Zyxel implementa as correções, a D-Link anunciou que não corrigirá quatro vulnerabilidades em seu roteador DIR-846, incluindo duas falhas críticas de execução remota de comandos (CVE-2024-44342). Isso se deve ao fato de o produto ter atingido o status de fim de vida (EoL) em fevereiro de 2020, com a recomendação de que os usuários substituam o dispositivo por modelos com suporte ativo. Os usuários afetados são incentivados a aplicar as atualizações de segurança o mais rápido possível para proteger seus dispositivos contra possíveis ataques.