CVE-2025-13943
Mis à jour :
Injection de Commande sur Zyxel EX3301-T0
Une faille critique, identifiée comme CVE-2025-13943, a été découverte dans certaines versions du firmware du périphérique Zyxel EX3301-T0. Cette vulnérabilité, de type injection de commande post-authentification (CWE-78), permet à un attaquant déjà authentifié d’exécuter des commandes arbitraires sur le système d’exploitation de l’appareil.
Points Clés :
- Type de vulnérabilité : Injection de commande post-authentification.
- Impact : Exécution de commandes arbitraires sur le système d’exploitation.
- Cause : Mauvaise neutralisation des caractères spéciaux dans les données fournies par l’utilisateur au sein de la fonction de téléchargement de fichiers journaux.
Vulnérabilités :
- CVE : CVE-2025-13943
- CWE : CWE-78 (Improper Neutralization of Special Elements used in an OS Command)
- Périphérique affecté : Zyxel EX3301-T0
- Versions de firmware affectées : Jusqu’à la version 5.50(ABVY.7)C0.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations de remédiation, la nature de la vulnérabilité suggère fortement la nécessité de mettre à jour le firmware du périphérique Zyxel EX3301-T0 vers une version corrigée dès que celle-ci sera disponible auprès du fabricant. Il est également conseillé aux administrateurs de limiter l’accès à la fonction de téléchargement de journaux aux utilisateurs de confiance.