Descripción
Se ha reportado a Zyxel una vulnerabilidad de severidad alta de tipo credenciales embebidas. Los productos afectados contienen credenciales embebidas que podrían permitir a un atacante adquirir privilegios de administrador mediante la cuenta de usuario “zyfwp”. Se ha asignado el identificador CVE-2020-29583 para esta vulnerabilidad.
Recursos afectados
Cortafuegos:
- ATP series, versión de firmware ZLD 4.60
- USG series, versión de firmware ZLD 4.60
- USG FLEX series, versión de firmware ZLD 4.60
- VPN series, versión de firmware ZLD 4.60
Controladores de Punto de Acceso (AP):
- NXC2500, versiones de firmware de la 6.00 a la 6.10
- NXC5500, versiones de firmware de la 6.00 a la 6.10
Solución
- Para los cortafuegos, está disponible el parche ZLD V4.60 Patch1.
- Para los controladores AP, el fabricante publicará un parche mañana, día 8 de enero.
Referencias
Publicación de Zyxel oficial de la vulnerabilidad