A Zyxel lançou atualizações de segurança para seus firewalls da linha USG FLEX H com o objetivo de corrigir falhas críticas que podem permitir acesso não autorizado e escalonamento de privilégios. A empresa recomenda fortemente que os usuários instalem os patches o quanto antes para garantir a proteção adequada dos dispositivos. As falhas corrigidas envolvem problemas de atribuição incorreta de permissões e gerenciamento inadequado de privilégios.

Uma das vulnerabilidades corrigidas, identificada como CVE 2025 1731, afeta comandos PostgreSQL em determinadas versões do firmware UOS dos dispositivos da linha USG FLEX H. Essa falha pode ser explorada por um invasor local com privilégios limitados para obter acesso ao shell do Linux e escalar privilégios. O ataque pode ocorrer por meio de scripts maliciosos ou alterações nas configurações do sistema, desde que o token de autenticação do administrador ainda esteja ativo. O escore de gravidade dessa falha é de 7,8 segundo o CVSS.

A segunda vulnerabilidade, registrada como CVE 2025 1732, está relacionada à função de recuperação do sistema. Neste caso, um atacante local autenticado, já com privilégios de administrador, pode carregar um arquivo de configuração manipulado e, com isso, obter acesso elevado ao dispositivo comprometido. O escore dessa falha é de 6,7. As versões afetadas vão do UOS V1.20 até a V1.31. A Zyxel já disponibilizou a atualização corretiva na versão UOS V1.32, que soluciona ambas as falhas. A fabricante reforça a importância da atualização imediata para evitar que possíveis brechas sejam exploradas em ambientes corporativos ou governamentais.