多款NETGEAR设备缺少访问控制漏洞

CVE编号

CVE-2020-26914

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-09
漏洞描述
NETGEAR D6200等都是美国网件(NETGEAR)公司的产品。NETGEAR D6200是一款无线调制解调器。NETGEAR D7000是一款无线调制解调器。NETGEAR WNR2020是一款无线路由器。 Certain NETGEAR devices D6200 1.1.00.38之前版本, D7000 1.0.1.78之前版本, JR6150 1.0.1.24之前版本, R6020 1.0.0.42之前版本, R6050 1.0.1.24之前版本, R6080 1.0.0.42之前版本, R6120 1.0.0.66之前版本, R6220 1.1.0.100之前版本, R6260 1.1.0.64之前版本, R6700v2 1.2.0.62之前版本, R6800 1.2.0.62之前版本, R6900v2 1.2.0.62之前版本, R7450 1.2.0.62之前版本, WNR2020 1.1.0.62之前版本存在安全漏洞,该漏洞源于缺少访问控制。

解决建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://kb.netgear.com/000062339/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-PSV-2019-0014


受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 netgear d6200_firmware * Up to
(excluding)
1.1.00.38
运行在以下环境
系统 netgear d7000_firmware * Up to
(excluding)
1.0.1.78
运行在以下环境
系统 netgear jr6150_firmware * Up to
(excluding)
1.0.1.24
运行在以下环境
系统 netgear r6020_firmware * Up to
(excluding)
1.0.0.42
运行在以下环境
系统 netgear r6050_firmware * Up to
(excluding)
1.0.1.24
运行在以下环境
系统 netgear r6080_firmware * Up to
(excluding)
1.0.0.42
运行在以下环境
系统 netgear r6120_firmware * Up to
(excluding)
1.0.0.66
运行在以下环境
系统 netgear r6220_firmware * Up to
(excluding)
1.1.0.100
运行在以下环境
系统 netgear r6260_firmware * Up to
(excluding)
1.1.0.64
运行在以下环境
系统 netgear r6700v2_firmware * Up to
(excluding)
1.2.0.62
运行在以下环境
系统 netgear r6800_firmware * Up to
(excluding)
1.2.0.62
运行在以下环境
系统 netgear r6900v2_firmware * Up to
(excluding)
1.2.0.62
运行在以下环境
系统 netgear r7450_firmware * Up to
(excluding)
1.2.0.62
运行在以下环境
系统 netgear wnr2020_firmware * Up to
(excluding)
1.1.0.62
运行在以下环境
硬件 netgear d6200 - -
运行在以下环境
硬件 netgear d7000 - -
运行在以下环境
硬件 netgear jr6150 - -
运行在以下环境
硬件 netgear r6020 - -
运行在以下环境
硬件 netgear r6050 - -
运行在以下环境
硬件 netgear r6080 - -
运行在以下环境
硬件 netgear r6120 - -
运行在以下环境
硬件 netgear r6220 - -
运行在以下环境
硬件 netgear r6260 - -
运行在以下环境
硬件 netgear r6700v2 - -
运行在以下环境
硬件 netgear r6800 - -
运行在以下环境
硬件 netgear r6900v2 - -
运行在以下环境
硬件 netgear r7450 - -
运行在以下环境
硬件 netgear wnr2020 - -
CVSS3评分
7.1
  • 攻击路径
    相邻
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
阿里云安全产品覆盖情况