一、 漏洞 CVE-2025-8078 基础信息
漏洞信息
# N/A
## 概述
Zyxel 多款设备的固件版本中存在一个**命令注入漏洞**,该漏洞位于设备的 CLI 命令参数处理过程中。
## 影响版本
- **ATP 系列**:固件版本 V4.32 至 V5.40
- **USG FLEX 系列**:固件版本 V4.50 至 V5.40
- **USG FLEX 50(W) 系列**:固件版本 V4.16 至 V5.40
- **USG20(W)-VPN 系列**:固件版本 V4.16 至 V5.40
## 细节
攻击者在**成功认证**并具备**管理员权限**的前提下,可通过构造特定字符串作为 CLI 命令参数,注入并执行任意操作系统命令。
## 影响
该漏洞允许攻击者在受影响设备上执行任意系统命令,可能导致设备被**完全控制**,包括数据泄露、配置篡改、服务中断等安全事件。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A post-authentication command injection vulnerability in Zyxel ATP series firmware versions from V4.32 through V5.40, USG FLEX series firmware versions from V4.50 through V5.40, USG FLEX 50(W) series firmware versions from V4.16 through V5.40, and USG20(W)-VPN series firmware versions from V4.16 through V5.40 could allow an authenticated attacker with administrator privileges to execute operating system (OS) commands on the affected device by passing a crafted string as an argument to a CLI command.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Zyxel ATP series firmware和Zyxel USG FLEX series firmware 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zyxel ATP series firmware和Zyxel USG FLEX series firmware都是中国合勤(Zyxel)公司的产品。Zyxel ATP series firmware是一系列防火墙固件。Zyxel USG FLEX series firmware是一系列安全设备固件。 Zyxel ATP series firmware和Zyxel USG FLEX series firmware存在操作系统命令注入漏洞,该漏洞源于身份验证后可通过特制字符串执行CLI命令,可能导致操作系统
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-8078 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-8078 的情报信息
-
标题: Zyxel security advisory for post-authentication command injection and missing authorization vulnerabilities in ZLD firewalls | Zyxel Networks -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-8078
四、漏洞 CVE-2025-8078 的评论
暂无评论