关于 TOTOLINK A3700R命令执行漏洞(CVE-2023-46574)的安全告知
时间:2024-02-08 15:50:52来源:信息安全部作者:开yun体育官网入口
TOTOLINK A3700R 是中国吉翁电子(TOTOLINK)公司的一款无线路由器。
漏洞详情
TOTOLINK A3700R v.9.1.2u.6165_20211012 版本存在命令注入漏洞,远程攻击者可利用该漏洞通过 UploadFirmwareFile 函数中的 FileName 参数执行任意代码。
影响范围
TOTOLINK TOTOLINK A3700R 9.1.2u.6165_20211012
漏洞复现
修复建议
在网络中使用防火墙可以增加一层保护,防止未经授权的访问和攻击;尽量减少不必要的远程访问权限。如果可能,只允许信任的IP地址或网络访问路由器的管理界面。
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
参考链接
https://github.com/OraclePi/repo/blob/main/totolink%20A3700R/1/A3700R%20%20V9.1.2u.6165_20211012%20vuln.md