Zyxel, VPN2S güvenlik duvarındaki dizin geçişi ve komut enjeksiyonu (Command Injection) güvenlik zafiyetlerini ele alan bir güncelleme yayınlamıştır.
- CVE-2021-35021 kodu ile izlenen zafiyet VPN2S güvenlik duvarında, uygun olmayan şekilde sterilize edilmiş bir URL içindeki belirli karakter dizilerinin neden olduğu bir dizin geçişi (Path Traversal) güvenlik zafiyetidir. Uzaktaki bir tehdit aktörü özel hazırlanmış bir HTTP isteği göndererek sistemdeki dosyaları okuyabilmektedir.
- CVE-2021-35028 kodu ile izlenen zafiyet ise bir CGI programındaki parametreler için uygunsuz filtrelemenin neden olduğu bir komut enjeksiyonu güvenlik zafiyetidir. Yerel bir tehdit aktörü, uygulamaya özel hazırlanmış verileri ileterek hedef sistemde işletim sistemi komutları yürütebilmektedir. Bu güvenlik zafiyetinden başarıyla yararlanılması, savunmasız sistemin tamamen tehlikeye girmesine neden olmaktadır.
Kritiklik seviyeleri orta ve düşük olarak derecelendirilen söz konusu zafiyetler ZyWALL VPN2S 1.12 sürümünü etkilemektedir.