Avviso importante: |
Avviso di sicurezza Zyxel relativo alla vulnerabilitàdi iniezione di comandi post-autenticazione nel comando CLI di configurazione DDNS dei firewall ZLD
CVE: CVE-2025-11730
Sommario
Zyxel ha rilasciato delle patch che risolvono una vulnerabilità di iniezione di comandi post-autenticazione in alcune versioni del firmware del firewall ZLD. Si consiglia agli utenti di installare tempestivamente queste patch per mantenere una protezione ottimale.
In cosa consiste la vulnerabilità?
CVE-2025-11730
Una vulnerabilità di tipo command injection post-autenticazione nel comando CLI di configurazione del Dynamic DNS (DDNS) in alcune versioni del firmware del firewall ZLD potrebbe consentire a un utente malintenzionato autenticato con privilegi di amministratore di eseguire comandi del sistema operativo (OS) su un dispositivo interessato fornendo una stringa appositamente creata come argomento al comando CLI.
Quali versioni sono vulnerabili e cosa dovete fare?
Dopo un'indagine approfondita, abbiamo identificato i prodotti vulnerabili che rientrano nel periodo di supporto della vulnerabilità e abbiamo rilasciato aggiornamenti per risolvere la vulnerabilità, come mostrato nella tabella seguente.
| Serie di firewall | Versione interessata | Disponibilità della patch |
| ATP | ZLD da V5.35 a V5.41 | ZLD V5.42 |
| USG FLEX | ZLD da V5.35 a V5.41 | ZLD V5.42 |
|
USG FLEX 50(W)/ USG20(W)-VPN |
ZLD da V5.35 a V5.41 | ZLD V5.42 |
Hai una domanda?
Contatta il tuo rappresentante di assistenza locale o visita la communityZyxel per ulteriori informazioni o assistenza.
Ringraziamenti
Ringraziamo Alessandro Sgreccia di HackerHood per averci segnalato il problema.
Cronologia delle revisioni
2026-2-5: Versione iniziale
Commenti
0 commentiAccedi per aggiungere un commento.