Netgear 提醒用户修复认证绕过和XSS漏洞

该存储型XSS漏洞（已在固件版本1.0.0.72中修复，PSV-2023-0122）影响 XR1000 Nighthawk 游戏路由器。虽然该该公司并未披露该漏洞的任何详情，但成功利用该漏洞可导致攻击者劫持用户会话，将用户重定向至恶意站点或展示虚假登录表单，并窃取受限制的信息。另外攻击者还可利用受陷用户权限进行各种操作，如果用户具有管理员权限则后果尤为危险。

认证绕过漏洞（已在固件版本2.2.2.2中修复，PSV-2023-0138）影响CAX30 Nighthawk AX6 6-Stream 有线调制解调器路由器。

尽管Netgear公司并未分享关于该漏洞的任何信息，但这类漏洞一般被视作中危级别，可导致攻击者越权访问管理员接口，并导致目标设备被完全接管。该公司并未就这两个漏洞的更多详情做出回应。

如何更新路由器固件

Netgear 公司在上周三发布的安全公告中提到，“强烈建议尽快下载最新固件。”要下载并安装最新固件，用户应遵循如下步骤：

1、访问 Netgear 支持门户。

2、在搜索框输入机型型号。从下拉目录中选择机型。

3、如未发现下拉目录，则检查是否正确输入机型型号或选择产品种类，浏览产品型号。

4、点击“下载”。

5、在“当前版本”下，选择以“固件版本”为开头的第一个下载。

6、点击“下载”。

7、要安装新固件，需要按照产品用户手册中的提示、固件发布记录或产品支持页面。

Netgear公司表示，“对于按照本报告中所提建议本可避免的任何后果，Netgear 不承担任何责任。”上个月，安全研究员发现了影响家庭用户和小型企业都在使用的 Netgear WINR614 N300中的6个漏洞。

由于该路由器机型已达生命周期且不再受 Netgear 支持，因此 Netgear 公司将不再发布安全补丁，并建议用户替换路由器或应用环节措施来拦截潜在攻击。