阿里云漏洞库

漏洞描述

NETGEAR RBK752等都是美国网件（NETGEAR）公司的一套家庭WiFi系统。多款NETGEAR产品中存在操作系统命令注入漏洞。攻击者可通过发送特制请求利用该漏洞在系统上执行任意Shell命令。以下产品及版本受到影响：NETGEAR RBK752 3.2.15.25之前版本；RBK753 3.2.15.25之前版本；RBK753S 3.2.15.25之前版本；RBR750 3.2.15.25之前版本；RBS750 3.2.15.25之前版本；RBK842 3.2.15.25之前版本；RBR840 3.2.15.25之前版本；RBS840 3.2.15.25之前版本；RBK852 3.2.15.25之前版本；RBK853 3.2.15.25之前版本；RBR850 3.2.15.25之前版本；RBS850 3.2.15.25之前版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://kb.netgear.com/000061943/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-WiFi-Systems-PSV-2020-0065

参考链接
https://kb.netgear.com/000061943/Security-Advisory-for-Pre-Authentication-Com...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	netgear	rbk752_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbk753s_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbk753_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbk842_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbk852_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbk853_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbr750_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbr840_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbr850_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbs750_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbs840_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	系统	netgear	rbs850_firmware	*		Up to (excluding) 3.2.15.25
	运行在以下环境
	硬件	netgear	rbk752	-	-
	运行在以下环境
	硬件	netgear	rbk753	-	-
	运行在以下环境
	硬件	netgear	rbk753s	-	-
	运行在以下环境
	硬件	netgear	rbk842	-	-
	运行在以下环境
	硬件	netgear	rbk852	-	-
	运行在以下环境
	硬件	netgear	rbk853	-	-
	运行在以下环境
	硬件	netgear	rbr750	-	-
	运行在以下环境
	硬件	netgear	rbr840	-	-
	运行在以下环境
	硬件	netgear	rbr850	-	-
	运行在以下环境
	硬件	netgear	rbs750	-	-
	运行在以下环境
	硬件	netgear	rbs840	-	-
	运行在以下环境
	硬件	netgear	rbs850	-	-

攻击路径

相邻
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

多款NETGEAR产品操作系统命令注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况