Podatności w produktach Zyxel
CSIRT CeZ ostrzega: zostały wykryte podatności w produktach Zyxel. Jedna z nich umożliwia wykonanie poleceń systemowych po uwierzytelnieniu, druga pozwala na ataki typu Slowloris (DoS), co może zakłócić dostęp do interfejsu zarządzania siecią. Jest już dostępna poprawka, która pozwala zminimalizować ryzyko ich wykorzystania.
Oznaczenia
- CVE-2025-8693 – Score CVSS: 8,8 High
- CVE-2025-6599 – Score CVSS: 5,3 Medium
Jak działają opisywane podatności?
CVE-2025-8693
Jest to luka w parametrze „priv” programu CGI w niektórych wersjach oprogramowania Zyxel. Umożliwia ona uwierzytelnionemu atakującemu wykonanie poleceń systemu operacyjnego.
CVE-2025-6599
Podatność na niekontrolowane zużycie zasobów serwera WWW. Pozwala na ataki typu Slowloris, które mogą tymczasowo blokować legalne żądania HTTP i zakłócać dostęp do panelu zarządzania.
Podatne systemy
- 4G LTE/5G NR CPE
- DSL/Ethernet CPE
- ONT światłowodowe
- Routery bezpieczeństwa
- Wzmacniacze bezprzewodowe
Działania zapobiegawcze
Zalecamy natychmiastową aktualizację oprogramowania zgodnie z rekomendacjami producenta - Zyxel Security Advisory.