根据上级单位网络安全预警,近日有关单位通报,ZTE MF286R、Tenda AC10和Tenda W30E三款路由器均存在网络安全漏洞(危害级别:高),攻击者可利用漏洞执行恶意代码控制被攻击者终端设备。目前中兴通讯和腾达公司已发布安全版本修复该漏洞。
1.ZTE MF286R是中兴通讯(ZTE)公司的一款无线路由器。ZTE MF286R CR_LVWRGBMF286RV1.0.0B04版本存在命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
2.Tenda AC10是腾达(Tenda)公司的一款无线路由器。Tenda AC10 US_AC10V4.0si_V16.03.10.13_cn版本存在缓冲区溢出漏洞,该漏洞源于compare_parentcontrol_time函数的time参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。
3.Tenda W30E是腾达(Tenda)公司的一款路由器。Tenda W30E V16.01.0.12(4843)版本存在缓冲区溢出漏洞,该漏洞源于函数formResetMeshNode未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。
修复方式:请登录路由器管理界面,点击系统版本升级完成漏洞修复。
请各单位立即通报预警本部门教师和学生,若使用上述三款产品的请及时升级版本修复漏洞,并加强安全防范,进一步提高网络安全防范意识,若有网络安全事件发生请及时报告信息化建设管理处(工作电话:38185255、38017887)。
网络安全和信息化领导小组办公室
信息化建设管理处
2024年1月3日
