Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘

Zyxel製のファイアウォールに深刻な脆弱性が明らかとなった。4月に同社がリリースしたパッチで脆弱性は修正されたが、脆弱性に関する注意喚起など行われておらず、問題が指摘されている。

同社の「USG FLEX」シリーズや「ATP」シリーズ、「VPN」シリーズなどのファームウェアに含まれるCGIプログラムに、OSコマンドインジェクションの脆弱性「CVE-2022-30525」が明らかとなったもの。

リモートよりファイルを変更し、コードを実行することが可能となる脆弱性で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」とレーティングされている。

同社は5月12日にアドバイザリを急遽公開したが、4月28日にリリースしたパッチで告知なしに修正が行われていたという。

今回の修正に関して、同脆弱性を報告したRapid7は、アップデートにあたり調整がなかったことへ不満を示すとともに、利用者へ告知のない「サイレントパッチ」の危険性を指摘している。

Rapid7によると、同脆弱性は同社研究者が4月に発見し、4月13日にZyxelへ報告していた。翌日Zyxelが報告を受領、4月21日に再現性を確認した。

（Security NEXT - 2022/05/13 ） ツイート

PR

関連記事

サイバー攻撃でシステム障害が発生 - B＆G財団
サーバやNASに第三者がアクセス - 東北大や同大病院
ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
先週注目された記事（2026年4月26日〜2026年5月2日）
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み