Netgear 提醒用户修复认证绕过和XSS漏洞
2024-7-15 17:44:22 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Netgear 公司提醒客户将设备更新至最新固件,修复多个 WiFi 6 路由器机型中的存储型跨站脚本 (XSS) 和认证绕过漏洞。

该存储型XSS漏洞(已在固件版本1.0.0.72中修复,PSV-2023-0122)影响 XR1000 Nighthawk 游戏路由器。虽然该该公司并未披露该漏洞的任何详情,但成功利用该漏洞可导致攻击者劫持用户会话,将用户重定向至恶意站点或展示虚假登录表单,并窃取受限制的信息。另外攻击者还可利用受陷用户权限进行各种操作,如果用户具有管理员权限则后果尤为危险。

认证绕过漏洞(已在固件版本2.2.2.2中修复,PSV-2023-0138)影响CAX30 Nighthawk AX6 6-Stream 有线调制解调器路由器。

尽管Netgear公司并未分享关于该漏洞的任何信息,但这类漏洞一般被视作中危级别,可导致攻击者越权访问管理员接口,并导致目标设备被完全接管。该公司并未就这两个漏洞的更多详情做出回应。

如何更新路由器固件

Netgear 公司在上周三发布的安全公告中提到,“强烈建议尽快下载最新固件。”要下载并安装最新固件,用户应遵循如下步骤:

1、访问 Netgear 支持门户。

2、在搜索框输入机型型号。从下拉目录中选择机型。

3、如未发现下拉目录,则检查是否正确输入机型型号或选择产品种类,浏览产品型号。

4、点击“下载”。

5、在“当前版本”下,选择以“固件版本”为开头的第一个下载。

6、点击“下载”。

7、要安装新固件,需要按照产品用户手册中的提示、固件发布记录或产品支持页面。

Netgear公司表示,“对于按照本报告中所提建议本可避免的任何后果,Netgear 不承担任何责任。”上个月,安全研究员发现了影响家庭用户和小型企业都在使用的 Netgear WINR614 N300中的6个漏洞。

由于该路由器机型已达生命周期且不再受 Netgear 支持,因此 Netgear 公司将不再发布安全补丁,并建议用户替换路由器或应用环节措施来拦截潜在攻击。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

速修复这些Netgear Orbi路由器漏洞

速修复!Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞

速修复!Netgear交换机曝3个严重的认证绕过漏洞

微软公布Netgear 固件严重漏洞详情,可盗取用户身份并攻陷系统

Netgear业务交换机被曝15个漏洞,有些不修复

原文链接

https://www.bleepingcomputer.com/news/security/netgear-warns-users-to-patch-authentication-bypass-xss-router-flaws/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520065&idx=1&sn=f3f7fcc056f11a3fe8e615681e0bd033&chksm=ea94be2bdde3373dda4a969cc8e526e43e261ee0d0c1e8748a5bdd70ef70d355bcb2252ea69d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh