兆勤科技安全漏洞公告:針對 ZLD 防火牆 DDNS 設定 CLI 指令中的身分驗證後指令注入漏洞
CVE 編號: CVE-2025-11730
摘要
Zyxel 已發布修補程式,以解決特定版本 ZLD 防火牆韌體中的身分驗證後指令注入漏洞。建議使用者盡速安裝這些修補程式,以維持最佳防護。
資安漏洞產生哪些狀況?
CVE-2025-11730
特定版本的 ZLD 防火牆韌體中,動態 DNS(DDNS)設定 CLI 指令存在身分驗證後指令注入漏洞,可能允許具備管理員權限且已通過身分驗證的攻擊者,透過提供特製字串作為 CLI 指令的參數,在受影響的設備上執行作業系統(OS)指令。
哪些版本受到影響?應該採取的行動?
經過徹底的調查後,我們已確認仍在漏洞支援期間內受影響的產品,並發布了修補此漏洞的更新,如下表所示。
| 防火牆系列 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| ATP | ZLD V5.35 to V5.41 | ZLD V5.42 |
| USG FLEX | ZLD V5.35 to V5.41 | ZLD V5.42 |
| USG FLEX 50(W)/ USG20(W)-VPN | ZLD V5.35 to V5.41 | ZLD V5.42 |
如何獲得協助?
如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至官方 Zyxel 中文論壇,我們將會提供進一步協助與說明。
致謝
感謝來自 HackerHood 的 Alessandro Sgreccia 向我們通報此問題。
修訂記錄
2026-2-5:初始版本