Cve-2025-13942

A Zyxel, fornecedora de redes de Taiwan, divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica que afeta mais de uma dúzia de modelos de roteadores. Identificada como CVE-2025-13942, essa falha de injeção de comandos foi encontrada na função UPnP de dispositivos como CPE 4G LTE/5G NR, CPE DSL/Ethernet, ONTs de fibra e extensores sem fio. A Zyxel alerta que atacantes remotos não autenticados podem explorar essa vulnerabilidade para executar comandos do sistema operacional em dispositivos não corrigidos, utilizando requisições SOAP UPnP maliciosas. No entanto, a empresa ressalta que a exploração bem-sucedida é limitada, pois requer que tanto o UPnP quanto o acesso WAN estejam habilitados, sendo que este último está desativado por padrão. Além disso, a Zyxel também corrigiu duas vulnerabilidades de injeção de comandos pós-autenticação (CVE-2025-13943 e CVE-2026-1459) que permitem a execução de comandos do sistema por meio de credenciais comprometidas. A CISA dos EUA está monitorando 12 vulnerabilidades da Zyxel que estão sendo ativamente exploradas. A empresa recomenda fortemente que os usuários instalem os patches para garantir a proteção adequada.