Zyxel предупредила о множественных уязвимостях в своих продуктах
CVE-2022-0734 – межсайтовый скриптинг (XSS) в компоненте CGI. Уязвимость позволяет с помощью скрипта для похищения данных перехватывать хранящиеся в браузере файлы cookie и токены сеанса.
CVE-2022-26531 – недостаточная проверка вводимых данных в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику вызвать переполнения буфера или аварийное завершение работы системы.
CVE-2022-2653 – внедрение команд в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику выполнять произвольные команды на ОС.
CVE-2022-0910 – обход аутентификации в компоненте CGI. Уязвимость позволяет злоумышленнику отключить двухфакторную аутентификацию через клиент IPsec VPN
