Đây là hai lỗ hổng buffer overflow và đều có điểm CVSS là 9,8. Lỗ hổng thứ nhất định danh CVE-2023-33009 là lỗ hổng tràn bộ đệm trong chức năng thông báo. Lỗ hổng thứ hai định danh CVE-2023-33010 là lỗ hổng tràn bộ đệm trong chức năng xử lý ID.
Danh sách các thiết bị bị ảnh hưởng bởi hai lỗ hổng bao gồm:
- ATP phiên bản ZLD V4.32 đến V5.36 Patch 1, được vá trong ZLD V5.36 Patch 2
- USG FLEX phiên bản ZLD V4.50 đến V5.36 Patch 1, được vá trong ZLD V5.36 Patch 2
- USG FLEX50(W)/USG20(W)-VPN phiên bản ZLD V4.25 đến V5.36 Patch 1, được vá trong ZLD V5.36 Patch 2
- VPN phiên bản ZLD V4.30 đến V5.36 Patch 1, được vá trong ZLD V5.36 Patch 2
- ZyWALL/USG phiên bản ZLD V4.25 đến V4.73 Patch 1, được vá trong ZLD V4.73 Patch 2
Tháng trước, Zyxel cũng đã phát hành các bản vá cho lỗ hổng nghiêm trọng CVE-2023-28771. Lỗ hổng này có thể bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng. Các tổ chức, doanh nghiệp cần sớm cập nhật bản vá để tránh các rủi ro đáng tiếc.