Zyxel ha emitido parches de seguridad para corregir una vulnerabilidad crítica en varios de sus routers empresariales y puntos de acceso (AP), que podría permitir a atacantes no autenticados inyectar comandos en el sistema operativo mediante el envío de una cookie manipulada a un dispositivo vulnerable.
El fallo, identificado como CVE-2024-7261 y con una puntuación CVSSv3 de 9.8 según fabricante, se debe a una incorrecta neutralización de elementos especiales en el parámetro “host” del programa CGI de algunas versiones de puntos de acceso y routers.
Los modelos afectados incluyen las series NWA, WAC, WAX y WBE, que requieren parches específicos para corregir la vulnerabilidad, por lo que se recomienda aplicarlos a la mayor brevedad posible. Zyxel también señala que el router USG LITE 60AX no requiere ninguna acción ya que se actualiza automáticamente.