ГлавнаяБаза уязвимостей БДУ → BDU:2026-02240
10критическая

BDU:2026-02240

Уязвимость реализации протокола UPnP микропрограммного обеспечения сетевых устройств Zyxel, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2026-02-25
Описание

Уязвимость реализации протокола UPnP микропрограммного обеспечения сетевых устройств Zyxel связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных SOAP-запросов

Затрагиваемое ПО и версии
LTE3301-PLUS (до 1.00(ABQU.9)C0)NR7101 (до 1.00(ABUV.12)B2)Zyxel Nebula LTE3301-PLUS (до 1.18(ACCA.6)V0)Nebula NR7101 (до 1.16(ACCC.1)V0)DX4510-B0 (до 5.17(ABYL.10.1)C0)DX4510-B1 (до 5.17(ABYL.10.1)C0)EE6510-10 (до 5.19(ACJQ.4.1)C0)EMG6726-B10A (до 5.13(ABNP.8.2)C1)EX2210-T0 (до 5.50(ACDI.2.4)C0)EX3510-B0 (до 5.17(ABUP.15.2)C0)EX3510-B1 (до 5.17(ABUP.15.2)C0)EX5510-B0 (до 5.17(ABQX.11.1)C0)EX5512-T0 (до 5.70(ACEG.5.4)C0)EX7710-B0 (до 5.18(ACAK.1.6)C0)VMG4927-B50A (до 5.13(ABLY.10.2)C0)PX3321-T1 (до 5.44(ACJB.1.5)C0)PX3321-T1 (до 5.44(ACHK.3)C0)PX5301-T0 (до 5.44(ACKB.0.6)C0)WX5610-B0 (до 5.18(ACGJ.0.5)C0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимым устройствам;
- ограничение доступа к уязвимым устройствам, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных обработкой SOAP-запросов;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).

Использование рекомендаций:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-null-pointer-dereference-and-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-security-routers-and-wireless-extenders-02-24-2026

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-null-pointer-dereference-and-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-security-routers-and-wireless-extenders-02-24-2026
Проверьте безопасность своего сайта и почты → Полная проверка домена