概要
Zyxelは、4G LTE/5G NR CPE、DSL/Ethernet CPE、Fiber ONTs、セキュリティルーター、およびワイヤレスエクステンダーに影響を与える複数の脆弱性に対する重要なセキュリティパッチを公開しました。これらの脆弱性には、サービス拒否(DoS)につながるヌルポインタ参照と、リモート攻撃者がシステムコマンドを実行できる深刻なコマンドインジェクションがあります。
主な脆弱性
Zyxelは、以下の脆弱性に対するセキュリティパッチを公開しました:
- CVE-2025-13942 (深刻度:Critical, CVSS 9.8) – UPnP関数に存在するコマンドインジェクション。この脆弱性は、ユーザーがWANアクセスとUPnP機能を手動で有効にした場合、認証なしのリモート攻撃者が悪意のあるSOAP要求を使用して任意のオペレーティングシステムコマンドを実行できる可能性があります。
- CVE-2025-13943 (深刻度:High) – 認証済みユーザー向けのコマンドインジェクション。認証された攻撃者が特別に作成したHTTP要求を使用して、DoS状態を引き起こす可能性があります。
- CVE-2026-1459 (深刻度:High, CVSS 7.2) – 認証管理者向けのコマンドインジェクション。認証された管理者が特別に作成したHTTP要求を使用して、DoS状態を引き起こす可能性があります。
- CVE-2025-11845からCVE-2025-11848 (深刻度:Medium, CVSS 4.9) – CGIプログラムで存在するヌルポインタ参照。認証された管理者が特別に作成したHTTP要求を使用して、DoS状態を引き起こす可能性があります。
対策とアドバイス
Zyxelは、影響を受けたモデルの大多数に対してファームウェア更新を公開しましたが、CVE-2026-1459に対するパッチは2026年3月まで利用可能になる予定です。ユーザーは公式サポートチャネルから最新のファームウェアをダウンロードし、WANアクセスが無効であることを確認する必要があります。
ISPからの直接配送を受けたエンドユーザーは、プロバイダーのサポートチームにカスタマイズされた更新を要求することをお勧めします。