Ważna informacja: |
Zyxel wydaje ostrzeżenie dotyczące luki w zabezpieczeniach umożliwiającejwstrzyknięcie poleceń po uwierzytelnieniu w poleceniu CLI konfiguracji DDNS zapór sieciowych ZLD
CVE: CVE-2025-11730
Podsumowanie
Firma Zyxel wydała poprawki dotyczące luki w zabezpieczeniach umożliwiającej wstrzyknięcie poleceń po uwierzytelnieniu w niektórych wersjach oprogramowania sprzętowego zapory ZLD. Zaleca się użytkownikom niezwłoczne zainstalowanie tych poprawek w celu zapewnienia optymalnej ochrony.
Na czym polega luka?
CVE-2025-11730
Luka w zabezpieczeniach umożliwiająca wstrzyknięcie poleceń po uwierzytelnieniu w poleceniu CLI konfiguracji Dynamic DNS (DDNS) w niektórych wersjach oprogramowania sprzętowego zapory ZLD może pozwolić uwierzytelnionemu atakującemu z uprawnieniami administratora na wykonanie poleceń systemu operacyjnego (OS) na podatnym urządzeniu poprzez podanie specjalnie spreparowanego ciągu znaków jako argumentu polecenia CLI.
Które wersje są podatne na ataki i co należy zrobić?
Po dokładnym zbadaniu zidentyfikowaliśmy podatne produkty, które są objęte okresem wsparcia w zakresie podatności, i wydaliśmy aktualizacje eliminujące tę podatność, jak pokazano w poniższej tabeli.
| Seria zapór sieciowych | Wrażliwa wersja | Dostępność poprawki |
| ATP | ZLD V5.35 do V5.41 | ZLD V5.42 |
| USG FLEX | ZLD V5.35 do V5.41 | ZLD V5.42 |
|
USG FLEX 50(W)/ USG20(W)-VPN |
ZLD V5.35 do V5.41 | ZLD V5.42 |
Masz pytanie?
Skontaktuj się z lokalnym przedstawicielem serwisowym lub odwiedź społecznośćZyxel , aby uzyskać więcej informacji lub pomoc.
Podziękowania
Dziękujemy Alessandro Sgreccia z HackerHood za zgłoszenie nam tego problemu.
Historia zmian
2026-2-5: Pierwsze wydanie
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.