Avis important : |
Avis de sécurité Zyxel concernant une vulnérabilitéd'injection de commande post-authentification dans la commande CLI de configuration DDNS des pare-feu ZLD
CVE : CVE-2025-11730
Résumé
Zyxel a publié des correctifs pour corriger une vulnérabilité d'injection de commande post-authentification dans certaines versions du micrologiciel du pare-feu ZLD. Il est conseillé aux utilisateurs d'installer ces correctifs rapidement afin de maintenir une protection optimale.
En quoi consiste la vulnérabilité ?
CVE-2025-11730
Une vulnérabilité d'injection de commande post-authentification dans la commande CLI de configuration DNS dynamique (DDNS) de certaines versions du micrologiciel du pare-feu ZLD pourrait permettre à un attaquant authentifié disposant de privilèges d'administrateur d'exécuter des commandes du système d'exploitation (OS) sur un appareil affecté en fournissant une chaîne spécialement conçue comme argument à la commande CLI.
Quelles sont les versions vulnérables et que devez-vous faire ?
Après une enquête approfondie, nous avons identifié les produits vulnérables qui sont dans leur période de support de vulnérabilité et avons publié des mises à jour pour corriger la vulnérabilité, comme indiqué dans le tableau ci-dessous.
| Série de pare-feu | Version concernée | Disponibilité du correctif |
| ATP | ZLD V5.35 à V5.41 | ZLD V5.42 |
| USG FLEX | ZLD V5.35 à V5.41 | ZLD V5.42 |
|
USG FLEX 50(W)/ USG20(W)-VPN |
ZLD V5.35 à V5.41 | ZLD V5.42 |
Vous avez une question ?
Veuillez contacter votre représentant local ou visiter la communautéZyxel pour plus d'informations ou d'assistance.
Remerciements
Merci à Alessandro Sgreccia de HackerHood de nous avoir signalé le problème.
Historique des révisions
2026-2-5 : Version initiale
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.