Krytyczna luka w routerach Zyxel może umożliwić atakującym zdalny dostęp

Błąd typu command injection, oznaczony jako CVE-2025-13942 (CVSS 9,8), dotyczy funkcji UPnP w różnych urządzeniach Zyxel, w tym routerach 4G LTE/5G NR CPE, DSL/Ethernet CPE, światłowodowych ONT oraz wzmacniaczach sygnału bezprzewodowego. Luka pozwala nieuwierzytelnionym zdalnym atakującym na wykonywanie poleceń systemu operacyjnego na podatnym urządzeniu poprzez odpowiednio spreparowane żądania UPnP SOAP.

Aby możliwe było zdalne wykorzystanie podatności, funkcje UPnP oraz dostęp z sieci WAN muszą być włączone. Warto jednak podkreślić, że w wielu konfiguracjach dostęp WAN do UPnP jest domyślnie wyłączony, co znacząco ogranicza ryzyko ataku.

Producent udostępnił już poprawki bezpieczeństwa, które eliminują tę lukę, a także dwie inne podatności typu command injection: CVE-2025-13943 (CVSS 8,8) oraz CVE-2026-1459 (CVSS 7,2). W ich przypadku atak wymaga posiadania skompromitowanych danych uwierzytelniających, które umożliwiają wykonanie poleceń systemowych na urządzeniu.

Zalecenia producenta

Firma Zyxel opublikowała już odpowiednie poprawki bezpieczeństwa i zaleca administratorom jak najszybszą aktualizację oprogramowania urządzeń. Regularne aktualizacje firmware’u pozostają jednym z najważniejszych elementów utrzymania bezpieczeństwa infrastruktury sieciowej.

Dlaczego to ważne?

Urządzenia Zyxel są szeroko wykorzystywane przez dostawców usług internetowych jako sprzęt instalowany u klientów w ramach nowych umów na dostęp do internetu. Oznacza to, że potencjalny zasięg podatności może obejmować dużą liczbę urządzeń działających w sieciach domowych i firmowych.

Źródła:

• Zyxel security advisory for null pointer dereference and command injection vulnerabilities in certain 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs, Security Routers, and Wireless Extenders
• Zyxel warns of critical RCE flaw affecting over a dozen routers