一、基本情况
合勤科技(ZyXEL)是国际著名的网络宽带系统及解决方案供应商。
二、 漏洞描述
Zyxel发布安全公告,修复了某些接入点(AP)和安全路由器设备中的OS命令注入漏洞(CVE-2024-7261),该漏洞的CVSS评分为9.8。
Zyxel多款AP设备和安全路由器版本的CGI(通用网关接口)程序对host参数中的特殊元素(如某些字符或字符串)清理不当,可能导致未经身份验证的威胁者向易受攻击的设备发送恶意构造的cookie来执行操作系统命令,从而控制目标设备。
三、 影响范围
受影响产品 | 受影响型号 | 受影响固件版本 | 补丁版本 |
AP | NWA50AX | 7.00(ABYW.1)及之前版本 | 7.00(ABYW.2) |
NWA50AXPRO | 7.00(ACGE.1)及之前版本 | 7.00(ACGE.2) | |
NWA55AXE | 7.00(ABZL.1)及之前版本 | 7.00(ABZL.2) | |
NWA90AX | 7.00(ACCV.1)及之前版本 | 7.00(ACCV.2) | |
NWA90AXPRO | 7.00(ACGF.1)及之前版本 | 7.00(ACGF.2) | |
NWA110AX | 7.00(ABTG.1)及之前版本 | 7.00(ABTG.2) | |
NWA130BE | 7.00(ACIL.1)及之前版本 | 7.00(ACIL.2) | |
NWA210AX | 7.00(ABTD.1)及之前版本 | 7.00(ABTD.2) | |
NWA220AX-6E | 7.00(ACCO.1)及之前版本 | 7.00(ACCO.2) | |
NWA1123-ACPRO | 6.28(ABHD.0)及之前版本 | 6.28(ABHD.3) | |
NWA1123ACv3 | 6.70(ABVT.4)及之前版本 | 6.70(ABVT.5) | |
WAC500 | 6.70(ABVS.4)及之前版本 | 6.70(ABVS.5) | |
WAC500H | 6.70(ABWA.4)及之前版本 | 6.70(ABWA.5) | |
WAC6103D-I | 6.28(AAXH.0)及之前版本 | 6.28(AAXH.3) | |
WAC6502D-S | 6.28(AASE.0)及之前版本 | 6.28(AASE.3) | |
WAC6503D-S | 6.28(AASF.0)及之前版本 | 6.28(AASF.3) | |
WAC6552D-S | 6.28(ABIO.0)及之前版本 | 6.28(ABIO.3) | |
WAC6553D-E | 6.28(AASG.2)及之前版本 | 6.28(AASG.3) | |
WAX300H | 7.00(ACHF.1)及之前版本 | 7.00(ACHF.2) | |
WAX510D | 7.00(ABTF.1)及之前版本 | 7.00(ABTF.2) | |
WAX610D | 7.00(ABTE.1)及之前版本 | 7.00(ABTE.2) | |
WAX620D-6E | 7.00(ACCN.1)及之前版本 | 7.00(ACCN.2) | |
WAX630S | 7.00(ABZD.1)及之前版本 | 7.00(ABZD.2) | |
WAX640S-6E | 7.00(ACCM.1)及之前版本 | 7.00(ACCM.2) | |
WAX650S | 7.00(ABRM.1)及之前版本 | 7.00(ABRM.2) | |
WAX655E | 7.00(ACDO.1)及之前版本 | 7.00(ACDO.2) | |
WBE530 | 7.00(ACLE.1)及之前版本 | 7.00(ACLE.2) | |
WBE660S | 7.00(ACGG.1)及之前版本 | 7.00(ACGG.2) | |
Securityrouter | USGLITE 60AX | V2.00(ACIP.2) | V2.00(ACIP.3)* |
四、 修复建议
目前该漏洞已经修复,受影响用户可参考上表升级到相应补丁版本。
