Zyxel corrige une faille critique d'exécution de code à distance sur plus d'une douzaine de routeurs

Zyxel, fabricant taïwanais de matériel réseau, a publié des mises à jour de micrologiciel pour corriger une vulnérabilité critique d'injection de commandes dans la fonction UPnP de plusieurs modèles de routeurs. Cette faille, identifiée sous CVE-2025-13942 et notée 9,8/10 en gravité, permet à des attaquants non authentifiés d'exécuter des commandes sur le système d'exploitation via des requêtes UPnP SOAP malveillantes. L'annonce intervient mardi, touchant des appareils comme les box 4G LTE/5G NR CPE, DSL/Ethernet CPE, ONT fibre et répéteurs sans fil. La vulnérabilité exige que l'accès WAN, désactivé par défaut, soit activé et que la fonction UPnP, ou Universal Plug and Play, un protocole facilitant la connexion de périphériques domestiques au réseau, soit opérationnelle. Près de 120 000 appareils Zyxel sont exposés sur Internet, augmentant les risques pour les réseaux domestiques et professionnels. Ces mises à jour s'inscrivent dans un correctif plus large couvrant sept failles au total. Zyxel a également colmaté deux vulnérabilités de haute gravité en injection de commandes post-authentification, CVE-2025-13943 et CVE-2026-1459, exploitables avec des identifiants compromis pour exécuter des commandes système. Les utilisateurs doivent vérifier les versions de micrologiciel spécifiques à leur modèle et appliquer les patches sans délai. Bien que les conditions d'exploitation limitent les attaques immédiates, l'exposition massive incite à la vigilance accrue face aux menaces persistantes sur les routeurs connectés.