
9月3日兆勤科技(Zyxel Networks)发布资安公告,指出旗下部分Wi-Fi路由器设备存在重大层级漏洞CVE-2024-7261,这项漏洞发生的原因,在在于路由器CGI程序,host参数的特殊元素出现处理不当(improper neutralization)的现象,攻击者有机会借由发送特制的cookie,在未经身分验证的情况下运行操作系统命令,CVSS风险评分为9.8。
值得留意的是,受到这项漏洞影响的机种横跨多种产品线,涵盖NWA、WAC、WAX、WBE系列机种,以及主打资安的USG Lite 60AX共29款机种,该公司已发布新版固件予以修补。
附带一提,兆勤同日也针对ATP、USG Flex系列防火墙设备发布新版固件,总共修补7个漏洞,其中最危险的是命令注入漏洞CVE-2024-42057 ,CVSS风险评为8.1分。