关于Zyxel AP设备命令注入漏洞（CVE-2024-7261）的安全预警-东南大学网络与信息中心

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Zyxel AP设备命令注入漏洞（CVE-2024-7261）的安全预警

日期：2024-09-05阅读：次

关于Zyxel AP设备命令注入漏洞（CVE-2024-7261）的安全预警

一、基本情况

合勤科技（ZyXEL）是国际著名的网络宽带系统及解决方案供应商。

二、漏洞描述

Zyxel发布安全公告，修复了某些接入点（AP）和安全路由器设备中的OS命令注入漏洞（CVE-2024-7261），该漏洞的CVSS评分为9.8。

Zyxel多款AP设备和安全路由器版本的CGI（通用网关接口）程序对host参数中的特殊元素（如某些字符或字符串）清理不当，可能导致未经身份验证的威胁者向易受攻击的设备发送恶意构造的cookie来执行操作系统命令，从而控制目标设备。

三、影响范围

受影响产品	受影响型号	受影响固件版本	补丁版本
AP	NWA50AX	7.00(ABYW.1) 及之前版本	7.00(ABYW.2)
	NWA50AX PRO	7.00(ACGE.1) 及之前版本	7.00(ACGE.2)
	NWA55AXE	7.00(ABZL.1) 及之前版本	7.00(ABZL.2)
	NWA90AX	7.00(ACCV.1) 及之前版本	7.00(ACCV.2)
	NWA90AX PRO	7.00(ACGF.1) 及之前版本	7.00(ACGF.2)
	NWA110AX	7.00(ABTG.1) 及之前版本	7.00(ABTG.2)
	NWA130BE	7.00(ACIL.1) 及之前版本	7.00(ACIL.2)
	NWA210AX	7.00(ABTD.1) 及之前版本	7.00(ABTD.2)
	NWA220AX-6E	7.00(ACCO.1) 及之前版本	7.00(ACCO.2)
	NWA1123-AC PRO	6.28(ABHD.0) 及之前版本	6.28(ABHD.3)
	NWA1123ACv3	6.70(ABVT.4) 及之前版本	6.70(ABVT.5)
	WAC500	6.70(ABVS.4) 及之前版本	6.70(ABVS.5)
	WAC500H	6.70(ABWA.4) 及之前版本	6.70(ABWA.5)
	WAC6103D-I	6.28(AAXH.0) 及之前版本	6.28(AAXH.3)
	WAC6502D-S	6.28(AASE.0) 及之前版本	6.28(AASE.3)
	WAC6503D-S	6.28(AASF.0) 及之前版本	6.28(AASF.3)
	WAC6552D-S	6.28(ABIO.0) 及之前版本	6.28(ABIO.3)
	WAC6553D-E	6.28(AASG.2) 及之前版本	6.28(AASG.3)
	WAX300H	7.00(ACHF.1) 及之前版本	7.00(ACHF.2)
	WAX510D	7.00(ABTF.1) 及之前版本	7.00(ABTF.2)
	WAX610D	7.00(ABTE.1) 及之前版本	7.00(ABTE.2)
	WAX620D-6E	7.00(ACCN.1) 及之前版本	7.00(ACCN.2)
	WAX630S	7.00(ABZD.1) 及之前版本	7.00(ABZD.2)
	WAX640S-6E	7.00(ACCM.1) 及之前版本	7.00(ACCM.2)
	WAX650S	7.00(ABRM.1) 及之前版本	7.00(ABRM.2)
	WAX655E	7.00(ACDO.1) 及之前版本	7.00(ACDO.2)
	WBE530	7.00(ACLE.1) 及之前版本	7.00(ACLE.2)
	WBE660S	7.00(ACGG.1) 及之前版本	7.00(ACGG.2)
Security router	USG LITE 60AX	V2.00(ACIP.2)	V2.00(ACIP.3)*

四、修复建议

目前该漏洞已经修复，受影响用户可参考上表升级到相应补丁版本。

下载链接：

https://www.zyxel.com/global/en/support/download

五、参考链接

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024

https://nvd.nist.gov/vuln/detail/CVE-2024-7261

网络安全