[TLP:CLEAR] Zyxel opravuje 1 zraniteľnosť
Zyxel verziou 5.42 opravuje 1 zraniteľnosť v produkte Zyxel ZLD (firewall firmvér). Konkrétne postihnuté rady firewallov sú ATP, USG FLEX, USG FLEX 50(W) a USG20(W)-VPN [1].
Autentizovanému vzdialenému útočníkovi s administrátorskými oprávneniami je v dôsledku nedostatočného ošetrenia vstupov v príkazovom rozhraní pre konfiguráciu dynamického DNS umožnené vykonať príkazy operačného systému prostredníctvom špeciálne upraveného vstupu [1].
Zraniteľnosť sa nachádza v produktoch:
- Zyxel ATP vo verziách >=5.35 AND <5.42
- Zyxel USG FLEX vo verziách >=5.35 AND <5.42
- Zyxel USG FLEX 50(W) vo verziách >=5.35 AND <5.42
- Zyxel USG20(W)-VPN vo verziách >=5.35 AND <5.42
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-11730 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 2. 2026.
Za CESNET-CERTS Henrieta Paločková dňa 11. 2. 2026.
