Een kritieke kwetsbaarheid in de UPnP-functie van verschillende routers, wifi-extenders en andere netwerkapparaten van Zyxel maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand toegang te krijgen. Vervolgens kan de aanvaller willekeurige OS-commando's op het apparaat uitvoeren. Zyxel heeft firmware-updates uitgebracht om het probleem te verhelpen en stelt dat misbruik in een standaardconfiguratie niet mogelijk is.

Het beveiligingslek, aangeduid als CVE-2025-13942, is aanwezig in de UPnP-functie van de netwerkapparaten. Door het versturen van een speciaal geprepareerd SOAP request naar poort 38400 van het apparaat is command injection door een ongeauthenticeerde remote aanvaller mogelijk. Zyxel benadrukt dat WAN-toegang tot de kwetsbare netwerkapparaten standaard staat uitgeschakeld. "De aanval is alleen remote mogelijk als zowel WAN-toegang en de kwetsbare UPnP-functie zijn ingeschakeld."

De impact van het probleem is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid is aanwezig in achttien verschillende netwerkapparaten van Zyxel, waaronder routers, Gpon voip gateways en wifi-extenders. De beveiligingsonderzoeker die het probleem ontdekte zegt de komende maanden meer details te zullen geven, maar heeft inmiddels proof-of-concept exploitcode met technische informatie gedeeld.