聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Netgear 公司提醒客户将设备更新至最新固件,修复多个 WiFi 6 路由器机型中的存储型跨站脚本 (XSS) 和认证绕过漏洞。
该存储型XSS漏洞(已在固件版本1.0.0.72中修复,PSV-2023-0122)影响 XR1000 Nighthawk 游戏路由器。虽然该该公司并未披露该漏洞的任何详情,但成功利用该漏洞可导致攻击者劫持用户会话,将用户重定向至恶意站点或展示虚假登录表单,并窃取受限制的信息。另外攻击者还可利用受陷用户权限进行各种操作,如果用户具有管理员权限则后果尤为危险。
认证绕过漏洞(已在固件版本2.2.2.2中修复,PSV-2023-0138)影响CAX30 Nighthawk AX6 6-Stream 有线调制解调器路由器。
尽管Netgear公司并未分享关于该漏洞的任何信息,但这类漏洞一般被视作中危级别,可导致攻击者越权访问管理员接口,并导致目标设备被完全接管。该公司并未就这两个漏洞的更多详情做出回应。
如何更新路由器固件
Netgear 公司在上周三发布的安全公告中提到,“强烈建议尽快下载最新固件。”要下载并安装最新固件,用户应遵循如下步骤:
1、访问 Netgear 支持门户。
2、在搜索框输入机型型号。从下拉目录中选择机型。
3、如未发现下拉目录,则检查是否正确输入机型型号或选择产品种类,浏览产品型号。
4、点击“下载”。
5、在“当前版本”下,选择以“固件版本”为开头的第一个下载。
6、点击“下载”。
7、要安装新固件,需要按照产品用户手册中的提示、固件发布记录或产品支持页面。
Netgear公司表示,“对于按照本报告中所提建议本可避免的任何后果,Netgear 不承担任何责任。”上个月,安全研究员发现了影响家庭用户和小型企业都在使用的 Netgear WINR614 N300中的6个漏洞。
由于该路由器机型已达生命周期且不再受 Netgear 支持,因此 Netgear 公司将不再发布安全补丁,并建议用户替换路由器或应用环节措施来拦截潜在攻击。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
速修复!Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞
微软公布Netgear 固件严重漏洞详情,可盗取用户身份并攻陷系统
原文链接
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~