4G路由器多个漏洞安全通告
发布时间 2019-08-13• 漏洞编号和级别
CVE编号:CVE-2019-3412,危险级别:严重,CVSS分值:9.8
CVE编号:CVE-2019-14526,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-14527,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-12103,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-12104,危险级别:高危,CVSS分值:官方未评定
• 影响版本
受影响的版本
中兴MF920
Netgear Nighthawk M1移动路由器
TP-LINK M7350
• 漏洞概述
研究人员在DEF CON大会上披露了4G路由器中的多个安全漏洞,受影响的品牌包括中兴、Netgear及TP-LINK。
中兴MF920中的漏洞包括信息泄露漏洞(CVE-2019-3411)和代码执行漏洞(CVE-2019-3412)。Netgear Nighthawk M1移动路由器中的漏洞包括CSRF漏洞(CVE-2019-14526)及Post-Auth命令注入漏洞(CVE-2019-14527)。TP-LINK M7350中的漏洞包括Pre-Auth命令注入(CVE-2019-12103)以及Post-Auth命令注入(CVE-2019-12103)。
• 漏洞验证
POC:https://github.com/pentestpartners/defcon27-4grouters。
• 修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
中兴MF920:http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1010686
TP-LINK M7350:https://www.tp-link.com/uk/support/download/m7350/v3/#Firmware
• 参考链接
京公网安备11010802024551号