Zyxel a publié un avis de sécurité pour avertir les administrateurs de multiples vulnérabilités affectant une large gamme de produits de APre-feu, de AP et de contrôleurs de AP.

Les quatre failles divulguées dans l'avis de Zyxel sont les suivantes :

· CVE-2022-0734 : Vulnérabilité de gravité moyenne (CVSS v3.1 - 5.8) de script intersite dans le composant CGI, permettant aux attaquants d'utiliser un script pour voler les cookies et les jetons de session stockés dans le navigateur de l'utilisateur.

· CVE-2022-26531 : Faille ravité moyenne (CVSS v3.1 - 6.1) Défaut de validation incorrecte dans certaines commandes CLI, permettant à un attaquant local authentifié de provoquer un déAPssement de tampon ou un crash système.

· CVE-2022-26532 : Défaut de gravité élevée (CVSS v3.1 - 7.8) d'injection de commande dans certaines commandes CLI, permettant à un attaquant local authentifié d'exécuter des commandes OS arbitraires.

· CVE-2022-0910 : Vulnérabilité de gravité moyenne (CVSS v3.1 - 6.5) de contournement d'authentification dans le composant CGI, permettant à un attaquant de APsser d'une authentification à deux facteurs à une authentification à un facteur via un client VPN IPsec.

Les vulnérabilités ci-dessus ont un imAPct sur les APre-feu USG/ZyWALL, USG FLEX, ATP, VPN, NSG, les contrôleurs AP NXC2500 et NXC5500, ainsi que sur une gamme de produits de points d'accès, notamment les modèles des séries NAP, NWA, WAC et WAX.

Zyxel a publié les mises à jour de sécurité qui corrigent les problèmes pour la pluAPrt des modèles concernés.

Cependant, les administrateurs doivent demander un correctif auprès de leur représentant de service local pour les contrôleurs AP car le correctif n'est APs disponible publiquement.

Bien que ces vulnérabilités ne soient APs critiques, il est fortement conseillé aux administrateurs de réseau de mettre à jour leurs dispositifs dès que possible.