Viktigt meddelande: |
Zyxel säkerhetsmeddelande om sårbarhetför kommandoinjektion efter autentisering i DDNS-konfigurationskommandot CLI för ZLD-brandväggar
CVE: CVE-2025-11730
Sammanfattning
Zyxel har släppt patchar som åtgärdar en sårbarhet för kommandoinjektion efter autentisering i vissa versioner av ZLD-brandväggens firmware. Användare rekommenderas att installera dessa patchar omedelbart för att upprätthålla optimalt skydd.
Vad är sårbarheten?
CVE-2025-11730
En sårbarhet för kommandoinjektion efter autentisering i CLI-kommandot för konfiguration av dynamisk DNS (DDNS) i vissa versioner av ZLD-brandväggens firmware kan göra det möjligt för en autentiserad angripare med administratörsbehörighet att köra operativsystemkommandon (OS) på en drabbad enhet genom att ange en specialskapad sträng som argument till CLI-kommandot.
Vilka versioner är sårbara – och vad bör du göra?
Efter en grundlig undersökning har vi identifierat de sårbara produkterna som omfattas av supportperioden för sårbarheter och släppt uppdateringar för att åtgärda sårbarheten, enligt tabellen nedan.
| Brandväggsserie | Berörd version | Patch tillgänglighet |
| ATP | ZLD V5.35 till V5.41 | ZLD V5.42 |
| USG FLEX | ZLD V5.35 till V5.41 | ZLD V5.42 |
|
USG FLEX 50(W)/ USG20(W)-VPN |
ZLD V5.35 till V5.41 | ZLD V5.42 |
Har du frågor?
Kontakta din lokala servicerepresentant eller besök Zyxels community för mer information eller hjälp.
Tack
Tack till Alessandro Sgreccia från HackerHood för att han rapporterade problemet till oss.
Revisionshistorik
2026-2-5: Initial release
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.