Zyxel предупреждает о критической уязвимости с RCE, затрагивающей более десятка маршрутизаторов

1 мин
Zyxel предупреждает о критической уязвимости с RCE, затрагивающей более десятка маршрутизаторов

Тайваньский производитель сетевого оборудования Zyxel сообщил о проблеме в прошивке ряда своих устройств. Сообщается о критической уязвимости CVE-2025-13942 в функции UPnP, которая даёт возможность удалённо выполнять команды на уязвимом маршрутизаторе. Под удар попали модели 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптические терминалы Fiber ONT и беспроводные расширители, говорит Blleping Computer.

Атака возможна через специально сформированные UPnP SOAP-запросы. Одновременно Zyxel подчёркивает, что настройки по умолчанию несколько снижают риск: для атаки необходимо, чтобы на устройстве был включён доступ с WAN, отключённый по умолчанию. Тем не менее организация рекомендует всем пользователям установить свежие патчи с исправлениями.

Ранее Zyxel предупреждала, что не будет выпускать патчи для уязвимостей в устаревших маршрутизаторах — моделях VMG и SBG. Пользователям таких устройств советуют как можно скорее заменить их на более новые.

По данным сервиса Shadowserver, сейчас в интернете доступно приблизительно 120 тысяч устройств Zyxel, из них более 76 тысяч — маршрутизаторы. По собственным данным Zyxel, её сетевые решения используют более миллиона организаций в 150 странах. На этом фоне производитель призывает администраторов своевременно обновлять прошивки и при необходимости отключать неиспользуемые функции, включая UPnP, чтобы снизить вероятность взлома.

Читают сейчас

Обзор изменений в законодательстве за июнь 2026 года

17 июля 2026, 13:04

Обзор изменений в законодательстве за июнь 2026 года

В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

17 июля 2026, 13:00

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

17 июля 2026, 12:58

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

17 июля 2026, 12:57

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

«Авито» планирует запустить свой служба знакомств

17 июля 2026, 12:22

«Авито» планирует запустить свой служба знакомств

«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п