兆勤科技安全漏洞公告:Zyxel 無線基地台韌體中存在路徑遍歷漏洞
CVE 編號: CVE-2025-6265
摘要
Zyxel已針對某些無線基地台韌體版本中的file_upload-cgi CGI程式存在的路徑遍歷漏洞,釋出更新檔。建議使用者安裝這些更新檔,以獲得最佳保護。
資安漏洞產生哪些狀況?
此路徑遍歷漏洞存在於部分無線基地台韌體版本的file_upload-cgi CGI程式中,可能允許具有管理者權限的驗證攻擊者存取特定目錄並刪除檔案,例如設定檔。值得注意的是,無線基地台管理介面通常僅在區域網路環境中存取,且在管理者已使用強且獨一無二密碼的情況下,此攻擊才可能成功。
哪些版本受到影響?應該採取的行動?
經過徹底調查,我們已確認受影響的無線基地台韌體版本,並發布了更新檔來解決這些漏洞,如下表所示。請注意,表中未列出的所有在售產品均不受影響。
| 受影響的型號 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| NWA50AX | 7.10(ABYW.1) and earlier | 7.10(ABYW.3) |
| NWA50AX PRO | 7.10(ACGE.2) and earlier | 7.10(ACGE.3) |
| NWA55AXE | 7.10(ABZL.1) and earlier | 7.10(ABZL.3) |
| NWA90AX | 7.10(ACCV.1) and earlier | 7.10(ACCV.3) |
| NWA90AX PRO | 7.10(ACGF.2) and earlier | 7.10(ACGF.3) |
| NWA110AX | 7.10(ABTG.1) and earlier | 7.10(ABTG.3) |
| NWA130BE | 7.10(ACIL.2) and earlier | 7.20(ACIL.1) |
| NWA210AX | 7.10(ABTD.1) and earlier | 7.10(ABTD.3) |
| NWA220AX-6E | 7.10(ACCO.1) and earlier | 7.10(ACCO.3) |
| NWA1123AC PRO | 6.28(ABHD.3) and earlier | Hotfix by request |
| WAC500H | 6.70(ABWA.6) and earlier | 6.70(ABWA.7) |
| WAC5302D-Sv2 | 6.25(ABVZ.9) and earlier | Hotfix by request |
| WAC6103D-I | 6.28(AAXH.3) and earlier | Hotfix by request |
| WAX300H | 7.10(ACHF.1) and earlier | 7.10(ACHF.3) |
| WAX510D | 7.10(ABTF.1) and earlier | 7.10(ABTF.3) |
| WAX610D | 7.10(ABTE.1) and earlier | 7.10(ABTE.3) |
| WAX620D-6E | 7.10(ACCN.1) and earlier | 7.10(ACCN.3) |
| WAX630S | 7.10(ABZD.1) and earlier | 7.10(ABZD.3) |
| WAX640S-6E | 7.10(ACCM.1) and earlier | 7.10(ACCM.3) |
| WAX650S | 7.10(ABRM.1) and earlier | 7.10(ABRM.3) |
| WAX655E | 7.10(ACDO.1) and earlier | 7.10(ACDO.3) |
| WBE530 | 7.10(ACLE.2) and earlier | 7.20(ACLE.1) |
| WBE660S | 7.10(ACGG.2) and earlier | 7.20(ACGG.1) |
如何獲得協助?
如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至 官方Zyxel中文論壇,我們將會提供進一步協助與說明。
修訂記錄
2025-7-15:初始版本