Se han descubierto vulnerabilidades de severidad crítica y alta en productos Zyxel. Un actor malicioso podría ejecutar comandos arbitrarios del sistema operativo o realizar una escalada de privilegios en los dispositivos afectados.
Productos afectados
- Zyxel EX3510-B0 firmware versiones hasta 5.17(ABUP.15.1)C0.
- Zyxel EX3301-T0 firmware versiones hasta 5.50(ABVY.7)C0.
- Zyxel VMG3625-T50B firmware versiones hasta 5.50(ABPM.9.7)C0.
- Otros modelos de enrutadores 4G LTE/5G NR, DSL, Ethernet CPE, ONTs de fibra y extensores inalámbricos detallados en el boletín del fabricante.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-13942: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en la función UPnP. Un actor malicioso remoto no autenticado podría ejecutar comandos del sistema operativo en un dispositivo afectado mediante el envío de solicitudes SOAP de UPnP especialmente diseñadas bajo ciertas condiciones.
CVE-2025-13943: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos posterior a la autenticación en la función de descarga de archivos de registro. Un actor malicioso autenticado podría ejecutar comandos del sistema operativo en el dispositivo bajo ciertas condiciones.
CVE-2026-1459: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos posterior a la autenticación en el programa CGI de descarga de certificados TR-369. Un actor malicioso autenticado con privilegios de administrador podría ejecutar comandos del sistema operativo bajo ciertas condiciones.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias