Your browser either does not support JavaScript or you have turned JavaScript off.

Vulnérabilités concernant le reflected cross-site scripting sur certains équipements

Zyxel a découvert une faille de sécurité sur certains modèles ZyWALL/USG concernant le reflected cross-site scripting et travaille sur les correctifs.


Quelles sont ces vulnérabilités ?

La vulnérabilité identifiée concerne le reflected cross-site scripting dans le programme “free_time_failed.cgi' de certains équipements ZyWALL/USG supportant la fonctionnalité hotspot. Cette faille peut permettre à un hacker de récupérer les cookies de navigateur du compte utilisateur Guest sans authentification.

Le compte utilisateur Guest des équipements ZyWALL/USG est conçu pour fournir à ces utilisateurs Guest un accès à Internet limité et sur certaines pages définies. Il s’agit du compte disposant des droits les plus restreints sur les équipements ZyWALL/USG, et ce groupe d’utilisateurs hotspot est totalement indépendant et isolé des autres utilisateurs du réseau.

Par défaut, le firewall Zyxel bloque l’accès à l’interface d’administration aux utilisateurs du groupe Hotspot. Ainsi, même si la faille est exploitée, le hacker ne pourra pas prendre la main à distance sur l’équipement ni changer les paramètres de configuration des ZyWALL/USG.


Quels sont les modèles Zyxel concernés?

ZyWALL/USG110, 210, 310, 1100, 1900 et 2200-VPN avec les versions de firmware ZLD 4.30 et ultérieures.

Comment Zyxel corrige ces vulnérabilités?

Le patch correctif est disponible avec le firmware ZLD4.31 du 17 Avril 2018.

Pour plus d'informations, contacter le support technique Zyxel France: support@zyxel.fr