多款 NETGEAR 设备缓冲区错误漏洞

CVE编号

CVE-2020-26913

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-09
漏洞描述
NETGEAR R8900等都是美国网件(NETGEAR)公司的产品。NETGEAR R8900是一款无线路由器。NETGEAR XR500是一款无线路由器。NETGEAR R7800是一款无线路由器。 Certain NETGEAR devices存在缓冲区错误漏洞,该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。以下产品及版本受到影响:D6100 1.0.0.63之前版本, R7800 1.0.2.60之前版本, R8900 1.0.4.26之前版本, R9000 1.0.4.26之前版本, RBK20 2.3.0.28之前版本, RBR20 2.3.0.28之前版本, RBS20 2.3.0.28之前版本, RBK50 2.3.0.32之前版本, RBR50 2.3.0.32之前版本, RBS50 2.3.0.32之前版本, RBK40 2.3.0.28之前版本, RBR40 2.3.0.28之前版本, RBS40 2.3.0.28之前版本, SRK60 before 2.2.2.20之前版本, SRR60 2.2.2.20之前版本, SRS60 before 2.2.2.20之前版本, WN3000RPv2 1.0.0.78之前版本, WNDR4300v2 1.0.0.58之前版本, WNDR4500v3 1.0.0.58之前版本, WNR2000v5 1.0.0.70之前版本, XR450 2.3.2.40之前版本, and XR500 2.3.2.40之前版本.

解决建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://kb.netgear.com/000062340/Security-Advisory-for-Post-Authentication-Stack-Overflow-on-Some-Routers-and-WiFi-Systems-PSV-2018-0140


受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 netgear d6100_firmware * Up to
(excluding)
1.0.0.63
运行在以下环境
系统 netgear r7800_firmware * Up to
(excluding)
1.0.2.60
运行在以下环境
系统 netgear r8900_firmware * Up to
(excluding)
1.0.4.26
运行在以下环境
系统 netgear r9000_firmware * Up to
(excluding)
1.0.4.26
运行在以下环境
系统 netgear rbk20_firmware * Up to
(excluding)
2.3.0.28
运行在以下环境
系统 netgear rbk40_firmware * Up to
(excluding)
2.3.0.28
运行在以下环境
系统 netgear rbk50_firmware * Up to
(excluding)
2.3.0.32
运行在以下环境
系统 netgear rbr20_firmware * Up to
(excluding)
2.3.0.28
运行在以下环境
系统 netgear rbr50_firmware * Up to
(excluding)
2.3.0.32
运行在以下环境
系统 netgear rbs20_firmware * Up to
(excluding)
2.3.0.28
运行在以下环境
系统 netgear rbs40_firmware * Up to
(excluding)
2.3.0.28
运行在以下环境
系统 netgear rbs50_firmware * Up to
(excluding)
2.3.0.32
运行在以下环境
系统 netgear srk60_firmware * Up to
(excluding)
2.2.2.20
运行在以下环境
系统 netgear srr60_firmware * Up to
(excluding)
2.2.2.20
运行在以下环境
系统 netgear srs60_firmware * Up to
(excluding)
2.2.2.20
运行在以下环境
系统 netgear wn3000rpv2_firmware * Up to
(excluding)
1.0.0.78
运行在以下环境
系统 netgear wndr4300v2_firmware * Up to
(excluding)
1.0.0.58
运行在以下环境
系统 netgear wndr4500v3_firmware * Up to
(excluding)
1.0.0.58
运行在以下环境
系统 netgear wnr2000v5_firmware * Up to
(excluding)
1.0.0.70
运行在以下环境
系统 netgear xr450_firmware * Up to
(excluding)
2.3.2.40
运行在以下环境
系统 netgear xr500_firmware * Up to
(excluding)
2.3.2.40
运行在以下环境
硬件 netgear d6100 - -
运行在以下环境
硬件 netgear r7800 - -
运行在以下环境
硬件 netgear r8900 - -
运行在以下环境
硬件 netgear r9000 - -
运行在以下环境
硬件 netgear rbk20 - -
运行在以下环境
硬件 netgear rbk40 - -
运行在以下环境
硬件 netgear rbk50 - -
运行在以下环境
硬件 netgear rbr20 - -
运行在以下环境
硬件 netgear rbr50 - -
运行在以下环境
硬件 netgear rbs20 - -
运行在以下环境
硬件 netgear rbs40 - -
运行在以下环境
硬件 netgear rbs50 - -
运行在以下环境
硬件 netgear srk60 - -
运行在以下环境
硬件 netgear srr60 - -
运行在以下环境
硬件 netgear srs60 - -
运行在以下环境
硬件 netgear wn3000rpv2 - -
运行在以下环境
硬件 netgear wndr4300v2 - -
运行在以下环境
硬件 netgear wndr4500v3 - -
运行在以下环境
硬件 netgear wnr2000v5 - -
运行在以下环境
硬件 netgear xr450 - -
运行在以下环境
硬件 netgear xr500 - -
CVSS3评分
6.8
  • 攻击路径
    相邻
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-787 跨界内存写
阿里云安全产品覆盖情况