Laburpen exekutiboa
Shorabh Karir y Deepak Singh, de KPMG, han reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación o restablecer la contraseña del dispositivo.
Baliabide eragindakorrak
- ZLAN5143D: versión v1.600.
Azterketa teknikoa
- CVE-2026-25084: la autenticación del dispositivo se puede omitir accediendo directamente a las URL internas, permitiendo a un atacante eludir la autenticación
- CVE-2026-24789: un endpoint de la API sin protección, permite a un atacante cambiar de forma remota la contraseña del dispositivo sin proporcionar autenticación.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-25084 | Crítica | No | ZLAN Information Technology Co. |
| CVE-2026-24789 | Crítica | No | ZLAN Information Technology Co. |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Arintzea / Konponbidea
ZLAN Information Technology Co. no respondió a los intentos de coordinación de CISA. Se recomienda a los usuarios de dispositivos ZLAN5143D que se pongan en contacto con ZLAN y mantengan sus sistemas actualizados.