L’éditeur taïwanais Zyxel demande à ses clients de corriger au plus vite une vulnérabilité critique repérée dans son logiciel de pare-feu.
Le bulletin de sécurité indique que le potentiel contournement d’authentification est lié à l’absence d’un mécanisme de contrôle d’accès approprié dans le programme CGI de certaines de ses versions de pare-feu : « La faille pourrait permettre à un attaquant de contourner l’authentification et d’obtenir un accès administratif au dispositif ».
La gravité de la faille de sécurité (CVE-2022-0342) est évaluée à 9,8. Sont concernés, les firmwares des lignes de produits suivantes : USG/ZyWALL (versions 4.20 à 4.70), USG FLEX (versions 4.50 à 5.20), ATP (versions 4.32 à 5.20), VPN (versions 4.30 à 5.20), NSG (versions 1.20 à 1.33 (Patch 4)).
Zyxel précise que les correctifs mis à disposition ne s’appliqueront qu’aux produits bénéficiant encore d’un support technique, pas aux anciens produits, même si ces derniers peuvent contenir la faille.