زایکسل یک وصله امنیتی را برای رفع یک آسیب‌پذیری حیاتی که بر دستگاه‌های فایروال زایکسل تأثیر می‌گذارد، منتشر کرده است که به مهاجمان احراز هویت نشده و از راه دور امکان اجرای کد دلخواه را می‌دهد.

این شرکت در اطلاعیه‌ای که روز پنجشنبه منتشر شد گفت: این آسیب‌پذیری command injection در CGI برخی از نسخه‌های فایروال وجود دارد که می‌تواند به مهاجم اجازه دهد تا فایل‌های خاصی را تغییر داده و سپس برخی از دستورات سیستم‌عامل را روی دستگاه آسیب‌پذیر اجرا کند.

شرکت امنیت سایبری Rapid7 که این نقص را در 13 آوریل 2022 کشف و گزارش کرد نیز در گزارشی گفت: این ضعف می‌تواند به یک دشمن احراز هویت نشده اجازه دهد تا کد دلخواه خود را به عنوان کاربر "nobody" روی دستگاه‌های آسیب‌دیده اجرا کند.

این نقص با شناسه رهگیری CVE-2022-30525 (امتیاز CVSS: 9.8)، محصولات زیر را که با وصله‌های منتشر شده در نسخه ZLD V5.30 بروز شده‌اند را آسیب‌پذیر می‌کند:

• USG FLEX 100(W), 200, 500, 700
• USG FLEX 50(W) / USG20(W)-VPN
• ATP series
• VPN series

Rapid 7 خاطرنشان کرد که حداقل 16،213 دستگاه آسیب‌پذیر Zyxel در اینترنت وجود دارد، که آن‌ها را به یک هدف سودآور برای مهاجم‌ها تبدیل می‌کند.