网络设备制造商合勤日前发布公告透露多款企业或商用路由器中出现的存高高危安全漏洞，其中严重程度最高的危安漏洞编号为 CVE-2024-7261，其漏洞评分达到 9.8/10 分。全漏

该漏洞是行任数据处理不当造成的输入验证错误，借助漏洞攻击者可以向受影响的令蓝摩尔庄园路由器发送特制的 cookie 远程执行任意命令，这将严重危害这些路由器的合勤安全。

尤其是多洞攻点网这些路由器可能位于某些公共场合中作为无线 AP 使用，遭到攻击的款企可执概率也会提升，合勤已经发布新版固件修复漏洞，业商用路由器意命建议使用合勤路由器的存高企业及时升级固件。

下面是危安合勤关于该漏洞的说明：

部分 AP 或安全路由器版本的 CGI 程序中，参数 host 中的特殊元素被错误的中和，这可能会允许未经身份验证的攻击者通过向存在漏洞的设备发送特制的 cookie 来执行系统命令。

受此漏洞影响的主要是部分无线 AP 和安全路由器 (具体受影响的路由器列表请看本文结尾的漏洞公告 1)，建议客户尽快更新到不受影响的固件确保安全。

感谢福州大学 ROIS 团队的 Chenchao AI 提交的漏洞报告。

除了上面这个漏洞外合勤此次还修复了其他多个漏洞，包罗 CVE-2024-6343、CVE-2024-7203、CVE-2024-42057、CVE-2024-42058、CVE-2024-42059、CVE-2024-42060、CVE-2024-42061 等，这些漏洞相对于来说危害不是太大，主要可以发起 DoS 拒绝办事等攻击。

不过也存在执行命令相关的漏洞，例如 CVE-2024-42059 属于防火墙中的注入漏洞可以执行某些命令、CVE-2024-42061 是个 XSS 漏洞可以用来窃取某些浏览器信息等。

漏洞公告 1：https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024

漏洞公告 2：https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024