Aviso importante: |
Aviso de seguridad de Zyxel sobre la vulnerabilidadde inyección de comandos tras la autenticación en el comando CLI de configuración DDNS de los cortafuegos ZLD
CVE: CVE-2025-11730
Resumen
Zyxel ha publicado parches que solucionan una vulnerabilidad de inyección de comandos tras la autenticación en determinadas versiones del firmware del firewall ZLD. Se recomienda a los usuarios que instalen estos parches lo antes posible para mantener una protección óptima.
¿En qué consiste la vulnerabilidad?
CVE-2025-11730
Una vulnerabilidad de inyección de comandos tras la autenticación en el comando CLI de configuración de DNS dinámico (DDNS) en determinadas versiones del firmware del firewall ZLD podría permitir a un atacante autenticado con privilegios de administrador ejecutar comandos del sistema operativo (SO) en un dispositivo afectado proporcionando una cadena especialmente diseñada como argumento para el comando CLI.
¿Qué versiones son vulnerables y qué debe hacer?
Tras una investigación exhaustiva, hemos identificado los productos vulnerables que se encuentran dentro de su período de soporte de vulnerabilidad y hemos publicado actualizaciones para solucionar la vulnerabilidad, como se muestra en la tabla siguiente.
| Serie de cortafuegos | Versión afectada | Disponibilidad del parche |
| ATP | ZLD V5.35 a V5.41 | ZLD V5.42 |
| USG FLEX | ZLD V5.35 a V5.41 | ZLD V5.42 |
|
USG FLEX 50(W)/ USG20(W)-VPN |
ZLD V5.35 a V5.41 | ZLD V5.42 |
¿Tiene alguna pregunta?
Póngase en contacto con su representante de servicio local o visite la comunidadde Zyxel para obtener más información o asistencia.
Agradecimiento
Agradecemos a Alessandro Sgreccia, de HackerHood, por informarnos del problema.
Historial de revisiones
2026-2-5: Versión inicial
Comentarios
0 comentariosInicie sesión para dejar un comentario.