Уязвимость BDU:2025-14361

Идентификатор: BDU:2025-14361.

Наименование уязвимости: Уязвимость компонента URL Parser веб-сервера zhttpd микропрограммного обеспечения маршрутизаторов Zyxel, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.

Описание уязвимости: Уязвимость компонента URL Parser веб-сервера zhttpd микропрограммного обеспечения маршрутизаторов Zyxel связана с копированием буфера без проверки размера входных данных. Эксплутация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код путем отправки специально сформированного HTTP-запроса
Уязвимое ПО: ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG3525-T50B до 5.50(ABPM.4)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG3525-T50B до 5.50(ABSL.0)b8 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG5523-T50B до 5.50(ABPM.4)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG5523-T50B до 5.50(ABSL.0)b8 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG5723-T50K до 5.50(ABOM.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EMG6726-B10A до 5.13 (ABNP.6).C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EX3510-B0 до 5.17(ABUP.3)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. EX5510-B0 до 5.15(ABQX.3)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG1312-T20B до 5.50(ABSB.3)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG3625-T50B до 5.50(ABPM.4)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG3925-B10B/B10C до 5.13(AAVF.16)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG3927-B50A_B60A до 5.15(ABMT.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG3927-B50B до 5.13(ABLY.6)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG3927-T50K до 5.50(ABOM.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG4005-B50B до 5.13(ABRL.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG4927-B50A до 5.13(ABLY.6)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG8623-T50B до 5.50(ABPM.4)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG8825-B50A_B60A до 5.15(ABMT.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG8825-Bx0B до 5.17(ABNY.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG8825-T50K до 5.50(ABOM.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. VMG8924-B10D до 5.13(ABGQ.6)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. XMG3927-B50A до 5.15(ABMT.5)C0 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. XMG8825-B50A до 5.17(ABMT.5)C0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 16.07.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://www.zyxel.com/service-provider/global/en/zyxel-security-advisory-remote-code-execution-and-denial-service-vulnerabilities-cpe.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-7673.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.zyxel.com/service-provider/global/en/zyxel-security-advisory-remote-code-execution-and-denial-service-vulnerabilities-cpe