***
최근 보고된 AP의 취약점 이슈에 대하여 개선된 패치 펌웨어를 업데이트 하였습니다.
이에 따라 패치 펌웨어를 제공하오니 업데이트를 진행하시기 바랍니다.
[CVE란?]
CVE (Common Vulnerabilities and Exposures)는공개된 보안 취약점에 대한 고유 식별 번호를 제공하는 시스템입니다. 이 시스템은 전 세계적으로 사용되며, 보안 문제를 표준화된 방식으로 분류하고 기술함으로써 보안 연구자, 벤더, 소프트웨어 개발자들이 다양한 공개 소프트웨어의 취약점을 신속히 공유하고, 개선된보안 패치를 개발 및 배포하여 공개 소프트웨어의 보안성을 향상시킵니다.
[내용]
CVE-2025-6265
일부 AP 펌웨어 버전의 ‘file_upload-cgi’ CGI 프로그램에 존재하는 경로 조작 취약점으로 인하여 관리자 권한을 가진
인증된 공격자가 특정 디렉터리에 접근하거나 파일 삭제 가능.
현재 WAC6103D-I 모델에 대한 보안 패치 펌웨어는 출시된 상태이며, 나머지 AP 모델에 대한 패치는 7월 28일에
배포될 예정입니다.
7월25일 모든 AP에 대한 패치 펌웨어 배포 완료 (수정)
7월 15일 기준 해당 취약점의 EPSS(Exploit Prediction Scroing System) 점수는 0.08%로 측정되었습니다.
EPSS는 취약점이 향후 30일 이내 실제 악용될 가능성을 확률로 나타내며, 점수가 높을수록 공격에 활용될 가능성이
높습니다.
[대상 모델]
AP 시리즈 패치 펌웨어 업데이트
[원문 링크]
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-path-traversal-vulnerability-in-aps-07-15-2025
[문의사항]
자이젤코리아기술지원센터 : 02-6243-5536 / victor@zyxel.kr(최승휘 매니저)
" CVE 번호 부여 기관(CNA)으로서의 최고 수준인 ‘Provider Acceptance Level’을 획득 "
ZYXEL은 2024년 미국 NVD(National Vulnerability Database)로부터 CVE 번호 부여 기관(CNA)으로서의 최고 수준인 ‘Provider Acceptance Level’을 획득하여 ZYXEL이 제출하는 보안 정보는 NVD의 자체 평가와 동등한 수준의 신뢰성을 인정받고 있습니다.
▼ 뉴스링크▼
https://www.zyxel.com/global/en/newsroom/press-releases/zyxel-networks
-becomes-only-networking-brand-to-earn-top-cna-acceptance-level
또한 보안장비에 대하여 ICSA랩, 국제 CC등 전세계 보안 기관 및 업체와 협업을 통해 지속적으로 보안 제품 성능 평가를 검증받고 있으며 제품 보안 사고에 신속하고 전문적으로 대응하기 위해 PSIRT(Product Security Incident Response Team)를 운영하고 있습니다.
보안 기관 및 보안 전문 업체로부터 보안 이슈가 보고되면, ZYXEL R&D센터에서 즉시 관련 취약점에 대한 패치를 개발해 보안 정책을 강화하고 있습니다.
자이젤은 지속적인 보안 검증으로 제품의 안전성을 강화하고 정기적인 펌웨어 업데이트를 통해 최신 보안 패치를 제공함으로써 자이젤 제품의 보안을 지속적으로 향상시키고 있습니다.
