Netgear 提醒用户修复认证绕过和XSS漏洞

最新推荐文章于 2024-08-13 17:01:19 发布
最新推荐文章于 2024-08-13 17:01:19 发布
阅读量46 收藏
点赞数
文章标签: xss 智能路由器 网络 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520065&idx=1&sn=f3f7fcc056f11a3fe8e615681e0bd033&chksm=ebee6045c3aa127708f9e6899fa1bf874f7417d57f0606c0d6576683eaad4a6f67251d49c2fa&scene=126&sessionid=0
版权

04e0fe05b509ef62d9cd63495b0cb929.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Netgear 公司提醒客户将设备更新至最新固件,修复多个 WiFi 6 路由器机型中的存储型跨站脚本 (XSS) 和认证绕过漏洞。

该存储型XSS漏洞(已在固件版本1.0.0.72中修复,PSV-2023-0122)影响 XR1000 Nighthawk 游戏路由器。虽然该该公司并未披露该漏洞的任何详情,但成功利用该漏洞可导致攻击者劫持用户会话,将用户重定向至恶意站点或展示虚假登录表单,并窃取受限制的信息。另外攻击者还可利用受陷用户权限进行各种操作,如果用户具有管理员权限则后果尤为危险。

认证绕过漏洞(已在固件版本2.2.2.2中修复,PSV-2023-0138)影响CAX30 Nighthawk AX6 6-Stream 有线调制解调器路由器。

尽管Netgear公司并未分享关于该漏洞的任何信息,但这类漏洞一般被视作中危级别,可导致攻击者越权访问管理员接口,并导致目标设备被完全接管。该公司并未就这两个漏洞的更多详情做出回应。

9e822082f245b488099ea1a3bc3678d1.gif

如何更新路由器固件

40c92df42054c3a4b5402870f30d1512.gif

Netgear 公司在上周三发布的安全公告中提到,“强烈建议尽快下载最新固件。”要下载并安装最新固件,用户应遵循如下步骤:

1、访问 Netgear 支持门户。

2、在搜索框输入机型型号。从下拉目录中选择机型。

3、如未发现下拉目录,则检查是否正确输入机型型号或选择产品种类,浏览产品型号。

4、点击“下载”。

5、在“当前版本”下,选择以“固件版本”为开头的第一个下载。

6、点击“下载”。

7、要安装新固件,需要按照产品用户手册中的提示、固件发布记录或产品支持页面。

Netgear公司表示,“对于按照本报告中所提建议本可避免的任何后果,Netgear 不承担任何责任。”上个月,安全研究员发现了影响家庭用户和小型企业都在使用的 Netgear WINR614 N300中的6个漏洞。

由于该路由器机型已达生命周期且不再受 Netgear 支持,因此 Netgear 公司将不再发布安全补丁,并建议用户替换路由器或应用环节措施来拦截潜在攻击。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

速修复这些Netgear Orbi路由器漏洞

速修复!Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞

速修复!Netgear交换机曝3个严重的认证绕过漏洞

微软公布Netgear 固件严重漏洞详情,可盗取用户身份并攻陷系统

Netgear业务交换机被曝15个漏洞,有些不修复

原文链接

https://www.bleepingcomputer.com/news/security/netgear-warns-users-to-patch-authentication-bypass-xss-router-flaws/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

76c752d80dbb241fef602b974f5358a5.jpeg

0300a98a603838dda7dd561198dffdf1.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   90e85509842c8279b1bdea7881a2fdfb.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修复Netgear交换机曝3个严重的认证绕过漏洞
smellycat000的专栏
09-07 562
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士昵称为 “Gynvael Coldwind” 的波兰安全研究员在网件中找到并报告了网件交换机中的三个严重漏洞 Demon’s Cries...
NETGEAR 系列路由器命令执行漏洞简析
12-17 1053
NETGEAR 系列路由器命令执行漏洞简析 2016年12月7日,国外网站exploit-db上爆出一个关于NETGEAR R7000路由器的命令注入漏洞。一时间,各路人马开始忙碌起来。厂商忙于声明和修复,有些人忙于利用,而我们则在复现的过程中寻找漏洞的本质。 一.漏洞简介 1.漏洞简介 2016年12月7日,NETGEAR R7000路由器在exploit-db上被爆出...
Netgear业务交换机被曝15个漏洞,有些不修复
smellycat000的专栏
03-11 883
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队NCC Group 公司的研究员在Netgear(“网件“)的 ProSAFE Plus JGS516PE 和 GS116Ev...
通信与网络中的Netgear最新Wi-Fi手机Skype 让VoIP绕过PC
11-28
Netgear公司的创新之举在于将流行的VoIP(Voice over Internet Protocol)服务Skype集成到其最新的Wi-Fi手机中,使得用户可以直接通过手机进行VoIP通话,而无需依赖个人计算机。这一举措标志着VoIP技术向移动设备的...
NETGEAR公司认证培训考试试题共7页.pdf.zip
11-13
公司认证通常是为了确保技术人员对NETGEAR产品的深入了解和熟练操作,提升网络部署和维护的专业技能。 这份7页的试题集可能包含了多个部分,如理论知识问答、案例分析以及可能的技术配置题目。考生可能需要掌握以下...
网件WNR2000和R2000对比 详解它俩性能区别
01-20
本文主要介绍的是关于网件WNR2000和R2000对比,并着重介绍的对比了它俩的性能区别。 R2000 网络标准 IEEE 802.11n 网络协议 TCP/IP协议 传输速率 300Mbps 传输速率 2.4GHz300Mbps 覆盖范围 中小型家庭 频率...
自动修复NETGEAR路由器二进制文件中的漏洞_TeX_Common Lisp_下载.zip
04-28
标题中的“自动修复NETGEAR路由器二进制文件中的漏洞_TeX_Common Lisp_下载”表明这个压缩包可能包含一个或多个程序,用于检测和修复NETGEAR路由器固件二进制文件的安全漏洞。其中涉及的技术包括TeX和Common Lisp。 ...
网件 NETGEAR R6800 固件 V1.2.0.76_1.0.1
04-03
此次更新的固件版本,NETGEAR专注于消除这些潜在的安全隐患,以防止未授权访问和攻击,保护用户网络不受侵害。这不仅包括了对路由器自身的防护,也涉及了通过路由器连接的所有设备的安全性。 除了安全修复,固件...
XSS (跨站脚本攻击) 详解
TechEnthusiast的博客
08-07 155
XSS(Cross-Site Scripting)是一种常见的web应用程序漏洞,允许攻击者将恶意脚本注入到其他用户浏览的网页中。当受害者浏览这些被注入恶意脚本的页面时,脚本会在用户的浏览器中执行,可能导致各种安全问题。XSS攻击之所以危险,是因为它能够绕过同源策略(Same-Origin Policy),这是浏览器的一种安全机制,用于限制不同源之间的交互。
HCIP第九章(MPLS理论)
2301_78530830的博客
08-13 490
2.快速包交换:一个数据流的第一个数据包进行原始交换,过程中生成转发规则缓存,改数据流剩下的数据包全部基于缓存中规则进行转发(一次路由多次交换,每个数据流中的第一个包被基于原始包交换规则转发,过程中生成缓存列表,记录整个通讯过程,改数据流量剩余数据包仅查询缓存记录即可)例:R2从BGP邻居5.5.5.5学习到6.6.6.0网段的路由,R2在访问6.6.6.0时,将在数据包中压入到达5.5.5.5ip地址的标签号,来穿越中间没有运行BGP协议的设备,实现打破路由黑洞。
网络如何发送一个数据包
最新发布
m0_55721285的博客
08-13 601
路由知道了下一个路由的IP地址后,同样的会广播一个ARP请求,与广播携带的IP数据一样的路由会响应这个广播,并携带上自己的MAC地址。当前局域网内的所有计算机以及路由器都会扫描到这个广播,并解析广播数据,当发现广播的IP地址信息和自己的相同时,就会将自己的MAC信息响应给计算机a。首先这个数据包会从计算机a发送到a的局域网的路由,此时通过ARP解析得到的是路由的MAC地址。每一级路由就像这样一级一级的发送,直到发送到目标的路由上,目标路由检测到目标就在和它连接的同一个局域网上时,就将数据包发送给目标b。
计算机网络——网络层(多协议标签交换MPLS、软件定义网络SDN)
2303_80204192的博客
08-07 997
在SDN中,数据层面中的交换机是由控制层面进行控制的,这种控制是通过openflow协议来实现的。时常有人把SDN与openflow放在一起讨论。我们要注重两者差别。SDN:是一种体系结构,一种设计、构建和管理网络的新方法,其要点就是把网络的控制层面和数据层面分离,进而让控制层面利用软件控制数据层面的设备。OpenFlow:可以把协议 OpenFlow 看成是在 SDN体系结构中控制层面和数据层面之间的通信接口它使得控制层面的控制器可以对数据层面中的物理设备或虚拟设备,进行直接访问和操纵。
Network Address Translation,网络地址转换技术
qq_51042577的博客
08-10 543
主要应用于解决IPV4地址短缺的问题,在家庭和小型办公室中使用可以节约申请独立IP地址的成本。通过这种方式,家用路由器使得家庭网络中的多个设备能够共享单个公网IP地址,同时保持通信的连续性和安全性。随着技术的发展,现代家用路由器通常还集成了防火墙和其他安全功能,以提供更全面的网络安全保护。在家庭网络中,NAT技术通常由家用路由器实现,它连接家庭内部的私有网络和外部的互联网服务提供商(ISP)。允许一个组织结构在互联网上以一个共有IP地址出现,同时内部使用私有IP地址。
SSH 和 Telnet 之间的区别
ITmoster的博客
08-08 390
SSH 和 Telnet是帮助用户与远程系统建立连接的两种通信协议,这些通信协议决定了数据如何在网络上的不同设备之间传输,这些设备通常需要通过各种物理和数字环境进行传输,网络协议的主要目标是通信、网络管理和安全。
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 906
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
HAProxy基本配置及参数实操
Webston的博客
08-12 870
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
OSPF小实验
sgdhshshhs的博客
08-07 415
【代码】OSPF小实验。
mpls vpn基础实验
wudongfang666的专栏
08-10 480
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值