兆勤科技針對NBG6604家用路由器中NTP功能的驗證後命令注入安全漏洞公告
CVE 編號: CVE-2023-33013
摘要
Zyxel發布了一個修補程式,解決NBG6604家庭路由器的網路時間協定 (NTP) 功能中的驗證後命令注入安全漏洞。建議用戶安裝最新修補程式以獲得最佳保護。
什麼是安全漏洞攻擊?
Zyxel的NBG6604的NTP功能中存在一個驗證後命令注入安全漏洞,允許已驗證的攻擊者透過發送特殊製作的HTTP請求遠端執行某些作業系統命令。請注意,家用路由器預設情況下禁用WAN訪問。
受影響的版本及預防措施?
經過詳細的檢查,我們已針對下列仍在安全漏洞支援期間受影響的一項產品,發布了最新韌體修補程式,以提供用戶最佳防護。
| 受影響的型號 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| NBG6604 | V1.01(ABIR.1)C0 | V1.01(ABIR.2)C0 |
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
特別感謝南京郵電大學X1cT34m實驗室的王錦程主動向我們報告此問題。
修訂記錄
2023-8-15: 初始版本