按 Enter 到主內容區
:::

TWCERT-電子報

:::

國內網通設備廠商修補路由器漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-07-29
  • 點閱次數:2646
國內網通設備廠商修補路由器漏洞 TWCERT/CC

CVE編號

CVE-2020-15498、CVE-2020-15499

內文

國內網通設備廠商最近更新其路由器產品 RT-AC1900P 的兩個資安漏洞;這兩個資安漏洞編號分別是 CVE-2020-15498、CVE-2020-15499。

CVE-2020-15498 這個漏洞發生在該款路由器的 wget 程式,在連線到伺服器下載韌體更新程式時,會接受偽造的數位安全認證簽章。

駭侵者可以利用這個漏洞發動中間人攻擊,最終可以竊聽路由器的所有網路流量;新版韌體取消使用 wget 下載更新程式碼的做法,避免中間人攻擊手法。

CVE-2020-15499 這個漏洞則發生在該款路由器的 web 管理界面的「更新說明」(release notes) 頁面;這個頁面因為內容處理的疏漏,可能造成駭侵者發動跨站指令碼攻擊(XSS)。

廠商已針對這兩個漏洞推出新版韌體,建議路由器 RT-AC1900P 版本號碼為 3.0.0.4.385_10000-gd8ccd3d的用戶,應即更新至 3.0.0.4.385_20253 以上版本,即可修復這兩個漏洞。

影響產品

RT-AC1900P,版本號碼 3.0.0.4.385_10000-gd8ccd3d

解決辦法

更新至 3.0.0.4.385_20253 以上版本
回頁首