Critical Zyxel router flaw exposed devices to remote attacks
2026/02/25 SecurityAffairs — Zyxel が公表したのは、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2025-13942 (CVSS:9.8) などに対処するアップデートの詳細である。この脆弱性は、複数の Zyxel CPE/Fiber ONT/Wireless Extender における、UPnP 機能にコマンド・インジェクションの欠陥に起因し、12 を超えるルーター・モデルに影響する。
細工された UPnP リクエストを送信する攻撃者は、オペレーティング・システム (OS) コマンドの実行が可能となる。リモート悪用には WAN アクセスと脆弱な UPnP デバイスの有効化が必要であるが、WAN アクセスはデフォルトで無効化されている。
ベンダーが公開したアドバイザリには、「4G LTE/5G NR CPE/DSL/Ethernet CPE/Fiber ONT/Wireless Extender の、特定のファームウェア・バージョンには、UPnP 機能のコマンド・インジェクションの脆弱性が存在する。それらを悪用するリモート攻撃者は、特別に細工された UPnP SOAP リクエストの送信を通じて、影響を受けるデバイス上でオペレーティング・システム (OS) コマンドを実行できる」と記載されている。
同社は、「これらデバイスにおいて、WAN アクセスはデフォルトで無効化されている。したがって、 WAN アクセス と脆弱な UPnP 機能の両方が有効化されている場合にのみ、リモート攻撃が可能になる」と強調している。
脆弱性 CVE-2026-1459 は、複数の Zyxel DSL/Ethernet CPE router モデルに影響する。具体的には、DX5401-B1/EMG3525-T50B/EMG5523-T50B/VMG3625-T50B/VMG3625-T50C/VMG8623-T50B などが対象となる。
Zyxel は、複数の Zyxel CPE/Fiber ONT/Security Router/Wireless Extender に影響を及ぼす他の脆弱性にも対処している。CVE-2025-11847/CVE-2025-11848 は IP 設定および Wake-on-LAN CGI コンポーネントに存在する null ポインタ参照の脆弱性である。認証済み管理者が、細工された HTTP リクエストを送信することで、Denial-of-Service が引き起こされる可能性がある。
CVE-2025-13943/CVE-2026-1459 は、承認後のコマンド・インジェクションの脆弱性であり、ログ・ダウンロード機能および TR-369 サーティフィケート機能に存在する。これらの脆弱性が悪用されると、オペレーティング・システム (OS) コマンド実行が可能となる。WAN アクセスはデフォルトで無効化されているため、いずれのケースにおいても、悪用の前提として管理者の認証情報に対する侵害が必要となる。
Purdue University の Tiantai Zhang が、CVE-2025-11845/CVE-2025-11846/CVE-2025-11847/CVE-2025-11848 を開示した。Víctor Fresco (@hacefresko) が、CVE-2025-13942/CVE-2025-13943 を開示した。その一方で、Watchful IP が CVE-2026-1459 を開示した。
ユーザーにとって必要なことは、アップデートを速やかに適用し、影響を受けるルーターの悪用を防止することだ。
Zyxel が、家庭用/ビジネス用のルーターやエクステンダーを含む、複数の製品に存在する深刻なリモートコード実行 (RCE) の脆弱性 CVE-2025-13942 などを修正するファームウェア・アップデートを公開しました。この脆弱性は、ネットワーク内のデバイス同士を自動接続するための規格である UPnP (Universal Plug and Play) の処理過程に存在する、コマンド・インジェクションの欠陥に起因しており、12モデル以上のデバイスに影響を及ぼします。その他にも、複数の脆弱性が FIX していますので、詳細についてはベンダーのアドバイザリを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.