合勤(Zyxel)多款企业/商用路由器存在高危安全漏洞 攻击者可执行恣意指令

网络设备制造商合勤日前发布公告泄漏多款企业或商用路由器中呈现的高危安全缝隙，其间严峻程度最高的缝隙编号为 CVE-2024-7261，其缝隙评分到达 9.8/10 分。

该缝隙是数据处理不妥形成的输入验证过错，凭借缝隙进犯者能够向受影响的路由器发送特制的 cookie 长途履行恣意指令，这将严峻损害这些路由器的安全。

尤其是这些路由器或许坐落某些公共场合中作为无线 AP 运用，遭到进犯的概率也会提高，合勤现已发布新版固件修正缝隙，主张运用合勤路由器的企业及时晋级固件。

下面是合勤关于该缝隙的阐明：

部分 AP 或安全路由器版别的 CGI 程序中，参数 host 中的特别元素被过错的中和，这或许会答应未经身份验证的进犯者经过向存在缝隙的设备发送特制的 cookie 来履行体系指令。

受此缝隙影响的首要是部分无线 AP 和安全路由器 (详细受影响的路由器列表请看本文结束的缝隙公告 1)，主张客户赶快更新到不受影响的固件确保安全。

感谢福州大学 ROIS 团队的 Chenchao AI 提交的缝隙陈述。

除了上面这个缝隙外合勤此次还修正了其他多个缝隙，包含 CVE-2024-6343、CVE-2024-7203、CVE-2024-42057、CVE-2024-42058、CVE-2024-42059、CVE-2024-42060、CVE-2024-42061 等，这些缝隙相对来说损害不是太大，首要能够建议 DoS 拒绝服务等进犯。

不过也存在履行指令相关的缝隙，例如 CVE-2024-42059 归于防火墙中的注入缝隙能够履行某些指令、CVE-2024-42061 是个 XSS 缝隙能够用来盗取某些浏览器信息等。

缝隙公告 1：https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024

缝隙公告 2：https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024