[TLP:CLEAR] Zyxel ZLD opravuje 2 zraniteľnosti
Zyxel verziou 5.41 opravuje 2 zraniteľnosti v produkte Zyxel ZLD (firewall firmvér). Konkrétne postihnuté rady firewallov sú ATP, USG FLEX, USG FLEX 50(W) a USG20(W)-VPN [1].
Autentizovanému vzdialenému útočníkovi s právami administrátora je umožnené vykonávať príkazy v operačnom systéme postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produktoch:
- Zyxel ATP vo verziách >=4.32 AND <5.41
- Zyxel USG FLEX vo verziách >=4.50 AND <5.41
- Zyxel USG FLEX 50(W) vo verziách >=4.16 AND <5.41
- Zyxel USG20(W)-VPN vo verziách >=4.16 AND <5.41
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-8078 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 10. 2025.
Vzdialenému útočníkovi autentizovanému iba jedným faktorom vrámci dvojfaktorovej autentizácie je umožnené získať konfiguráciu postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produktoch:
- Zyxel ATP vo verziách >=4.32 AND <5.41
- Zyxel USG FLEX vo verziách >=4.50 AND <5.41
- Zyxel USG FLEX 50(W) vo verziách >=4.16 AND <5.41
- Zyxel USG20(W)-VPN vo verziách >=4.16 AND <5.41
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2025-9133 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 10. 2025.
Za CESNET-CERTS Martin Krajči dňa 21. 10. 2025.
