Se han descubierto vulnerabilidades de severidad alta en productos Zyxel. Un actor malicioso podría lograr divulgación de información sensible o ejecución de comandos en los dispositivos afectados.
Productos afectados
- ATP series firmware V4.32–V5.40.
- USG FLEX series firmware V4.50–V5.40.
- USG FLEX 50(W) series firmware V4.16–V5.40.
- USG20(W)-VPN series firmware V4.16–V5.40.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-9133: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de control de acceso ausente que podría permitir a un actor malicioso, tras completar solo la primera fase de 2FA, ver y descargar la configuración del sistema.
CVE-2025-8078: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos post-autenticación que podría permitir a un actor malicioso con privilegios de administrador ejecutar comandos del sistema operativo en el dispositivo afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-9133
- https://www.cve.org/CVERecord?id=CVE-2025-8078
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025