以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. Arris SBR-AC系列路由器命令注入漏洞
2. Totolink 多款路由器命令注入漏洞
3. Netgear 多款路由器堆栈溢出漏洞
4. Tenda AC9 路由器远程代码执行漏洞
1. Arris SBR-AC系列路由器命令注入漏洞
漏洞编号:
CVE-2022-26994
漏洞介绍:
Arris SBR-AC1900P 1.0.7-B05、SBR-AC3200P 1.0.7-B05和SBR-AC1200P 1.0.5-B05路由器被发现在pptp功能中的pptpUserName和pptpPassword参数包含命令注入漏洞。该漏洞允许攻击者通过精心构造的请求执行任意命令。
Arris routers SBR-AC1900P 1.0.7-B05, SBR-AC3200P 1.0.7-B05 and SBR-AC1200P 1.0.5-B05 were discovered to contain a command injection vulnerability in the pptp function via the pptpUserName and pptpPassword parameters. This vulnerability allows attackers to execute arbitrary commands via a crafted request.
影响范围:
Arris sbr-ac3200p 1.0.7-B05
Arris sbr-ac1900p 1.0.7-B05
Arris sbr-ac1200p 1.0.5-B05
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
命令注入
漏洞危害:
攻击者可以远程执行任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26994
CVE 编号分配日期: 2022-03-14
漏洞发布日期: 2022-03-15
漏洞信息更新日期: 2022-03-22
2. Totolink 多款路由器命令注入漏洞
漏洞编号:
CVE-2022-27003
漏洞介绍:
Totolink路由器 X5000R V9.1.0u.6118_B
20201102和A7000R V9.1.0u.6115_B20201022被发现Tunnel 6rd函数中的relay6rd参数包含命令注入漏洞。该漏洞允许攻击者通过精心构造的请求执行任意命令。
Totolink routers X5000R V9.1.0u.6118_B
20201102andA7000R V9.1.0u.6115_
B20201022 were discovered to contain a command injection vulnerability in the Tunnel 6rd function via the relay6rd parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.
影响范围:
Totolink A7000R V9.1.0u.6115_B20201022
Totolink X5000R V9.1.0u.6118_B20201102
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
命令注入
漏洞危害:
攻击者可以远程执行任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27003
CVE 编号分配日期:2022-03-14
漏洞发布日期:2022-03-15
漏洞信息更新日期:2022-03-22
3. Netgear 多款路由器堆栈溢出漏洞
漏洞编号:
CVE-2022-24655
漏洞介绍:
Netgear EX6100v1 201.0.2.28、CAX80 2.1.2.6和DC112A 1.0.0.62中的upnpd服务被发现存在堆栈溢出漏洞,这可能会导致在没有身份验证的情况下执行任意代码。
A stack overflow vulnerability exists in the upnpd service in Netgear EX6100v1 201.0.2.28, CAX80 2.1.2.6, and DC112A 1.0.0.62, which may lead to the execution of arbitrary code without authentication.
影响范围:
Netgear EX6100v1 201.0.2.28
Netgear CAX80 2.1.2.6
Netgear DC112A 1.0.0.62
厂商修复状态:
厂商已经在最新版固件中修复此漏洞,请到官网下载最新固件:
https://www.netgear.com/support/
漏洞类型:
堆栈溢出
漏洞危害:
攻击者可能不需要身份验证即可执行任意代码
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24655
CVE 编号分配日期: 2022-02-07
漏洞发布日期: 2022-03-18
漏洞信息更新日期: 2022-03-18
4. Tenda AC9 路由器远程代码执行漏洞
漏洞编号:
CVE-2022-25441
漏洞介绍:
腾达AC9 v15.03.2.31在SetIPTVCfg函数中的vlanid参数存在远程命令执行(RCE)漏洞。
Tenda AC9 v15.03.2.21 was discovered to contain a remote command execution (RCE) vulnerability via the vlanid parameter in the SetIPTVCfg function.
影响范围:
Tenda AC9 v15.03.2.31
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
远程代码执行
漏洞危害:
攻击者可以远程执行任意代码
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25441
CVE 编号分配日期: 2022-02-21
漏洞发布日期: 2022-03-18
漏洞信息更新日期: 2022-03-21
