华硕修复了几款路由器中的关键远程身份验证绕过漏洞

ASUS解决了一个关键的远程身份验证绕过漏洞，跟踪编号为CVE-2024-3080（CVSS v3.1评分：9.8），影响七款路由器型号。该漏洞是一个身份验证绕过问题，远程攻击者可以利用它在未经身份验证的情况下登录设备。该漏洞影响以下型号：

• ZenWiFi XT8 3.0.0.4.388_24609（包括）及之前版本

• ZenWiFi 版本 RT-AX57 3.0.0.4.386_52294（包括）及之前版本

• ZenWiFi 版本 RT-AC86U 3.0.0.4.386_51915（包括）及之前版本

• ZenWiFi 版本 RT-AC68U 3.0.0.4.386_51668（包括）及之前版本

公司发布了以下固件更新以解决此问题：

• ZenWiFi XT8更新至3.0.0.4.388_24621（包括）及以后版本

• ZenWiFi XT8 V2更新至3.0.0.4.388_24621（包括）及以后版本

• RT-AX88U更新至3.0.0.4.388_24209（包括）及以后版本

• RT-AX58U更新至3.0.0.4.388_24762（包括）及以后版本

• RT-AX57更新至3.0.0.4.386_52303（包括）及以后版本

• RT-AC86U更新至3.0.0.4.386_51925（包括）及以后版本

• RT-AC68U更新至3.0.0.4.386_51685（包括）及以后版本

供应商还解决了一个关键的任意固件上传漏洞，跟踪编号为CVE-2024-3912（CVSS评分9.8），影响

多个设备受影响。一个未经身份验证的远程攻击者可以利用该漏洞在受影响的设备上执行系统命令。PLASMALABS的Carlos Köpke发现了这个漏洞。受影响的产品有：

DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U、DSL-N14U、DSL-N14U_B1、DSL-N12U_C1、DSL-N12U_D1、DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U。由于已经达到了生命周期结束（EoL），一些受影响的型号将不会收到固件更新。以下版本解决了该漏洞：

• 以下型号更新至1.1.2.3_792（包括）及以后版本：DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U

• 以下型号更新至1.1.2.3_807（包括）及以后版本：DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1

• 以下型号更新至1.1.2.3_999（包括）及以后版本：DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U，以及其他不再维护的型号：DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55。如果无法在短期内更换设备，建议关闭远程访问（WAN的Web访问）、虚拟服务器（端口转发）、DDNS、VPN服务器、DMZ、端口触发等功能。

原文始发于微信公众号（黑猫安全）：华硕修复了几款路由器中的关键远程身份验证绕过漏洞