兆勤科技安全漏洞公告:無線基地台與資安路由器中的不當權限管理漏洞
CVE 編號: CVE-2024-12398
摘要
Zyxel 已發布更新檔,解決部分無線基地台 (AP) 和資安路由器韌體版本中網頁管理介面的不當權限管理漏洞。建議用戶安裝更新檔以確保最佳保護。
資安漏洞產生哪些狀況?
部分無線基地台 (AP) 和資安路由器韌體版本的網頁管理介面存在不當權限管理漏洞,可能使具有有限權限的已驗證用戶提升至管理員權限,進而能將設定檔上傳至受影響的設備。
哪些版本可能受到攻擊,應該怎麼做?
經過全面調查,我們已確認受漏洞影響且仍在支援期限內的產品,並針對相關漏洞發布韌體更新檔,詳情如下表所示。
| 產品類型 | 受影響的型號 | 受影響的版本 | 最新修補程式 |
|---|---|---|---|
| 無線基地台 | NWA50AX | 7.00(ABYW.2) and earlier | 7.10(ABYW.1) |
| NWA50AX PRO | 7.00(ACGE.2) and earlier | 7.10(ACGE.1) | |
| NWA55AXE | 7.00(ABZL.2) and earlier | 7.10(ABZL.1) | |
| NWA90AX | 7.00(ACCV.2) and earlier | 7.10(ACCV.1) | |
| NWA90AX PRO | 7.00(ACGF.2) and earlier | 7.10(ACGF.1) | |
| NWA110AX | 7.00(ABTG.2) and earlier | 7.10(ABTG.1) | |
| NWA130BE | 7.00(ACIL.3) and earlier | 7.10(ACIL.1) | |
| NWA210AX | 7.00(ABTD.2) and earlier | 7.10(ABTD.1) | |
| NWA220AX-6E | 7.00(ACCO.2) and earlie | 7.10(ACCO.1) | |
| NWA1123ACv3 | 6.70(ABVT.4) and earlier | 6.70(ABVT.6) | |
| WAC500 | 6.70(ABVS.5) and earlier | 6.70(ABVS.6) | |
| WAC500H | 6.70(ABWA.5) and earlier | 6.70(ABWA.6) | |
| WAX300H | 7.00(ACHF.2) and earlier | 7.10(ACHF.1) | |
| WAX510D | 7.00(ABTF.2) and earlier | 7.10(ABTF.1) | |
| WAX610D | 7.00(ABTE.2) and earlier | 7.10(ABTE.1) | |
| WAX620D-6E | 7.00(ACCN.2) and earlier | 7.10(ACCN.1) | |
| WAX630S | 7.00(ABZD.2) and earlier | 7.10(ABZD.1) | |
| WAX640S-6E | 7.00(ACCM.2) and earlier | 7.10(ACCM.1) | |
| WAX650S | 7.00(ABRM.2) and earlier | 7.10(ABRM.1) | |
| WAX655E | 7.00(ACDO.2) and earlier | 7.10(ACDO.1) | |
| WBE530 | 7.00(ACLE.3) and earlier | 7.10(ACLE.1) | |
| WBE660S | 6.70(ACGG.2) and earlier | 7.00(ACGG.1) | |
| 資安路由器 | USG LITE 60AX | 2.00(ACIP.4) and earlier | 2.10(ACIP.0)* |
*雲端更新
如何獲得協助?
如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至 官方Zyxel中文論壇 ,我們將會提供進一步協助與說明。
致謝
感謝來自 HackerHood 的 Alessandro Sgreccia 向我們回報此問題。
修訂記錄
2025-1-14: 初始版本