CVE-2025-8078

Nome do Software Vulnerável e Versões Afetadas Séries Zyxel ATP versões V4.32 até V5.40 Séries Zyxel USG FLEX versões V4.50 até V5.40 Séries Zyxel USG FLEX 50(W) versões V4.16 até V5.40 Séries Zyxel USG20(W)-VPN versões V4.16 até V5.40

Descrição Existe uma vulnerabilidade de injeção de comandos pós-autenticação em dispositivos Zyxel. Um atacante autenticado com privilégios de administrador pode executar comandos do sistema operacional (SO) no dispositivo afetado. Isso é conseguido fornecendo uma string especialmente elaborada como argumento para um comando da Interface de Linha de Comando (CLI). A injeção de comandos ocorre quando um programa passa dados fornecidos pelo usuário diretamente para um shell do sistema sem a devida sanitização, permitindo que um atacante injete comandos arbitrários.

Recomendações Séries Zyxel ATP versões V4.32 até V5.40: Atualize o firmware para uma versão superior à V5.40. Séries Zyxel USG FLEX versões V4.50 até V5.40: Atualize o firmware para uma versão superior à V5.40. Séries Zyxel USG FLEX 50(W) versões V4.16 até V5.40: Atualize o firmware para uma versão superior à V5.40. Séries Zyxel USG20(W)-VPN versões V4.16 até V5.40: Atualize o firmware para uma versão superior à V5.40.