首页 > 安全钻研 > 安全传递 > 安全公告

华硕路由器跨站剧本攻击缝隙安全公告

颁布功夫 2018-10-26

缝隙编号和级别

CVE编号：CVE-2018-18287，危险级别：高危，CVSS分值：官方未评定

影响版本

该缝隙影响了华硕RT-AC58U v3.0.0.4.380_6516路由器。

缝隙概述

华硕RT-AC58U路由器是台湾华硕电脑股份有限公司所设计研发的家庭无线路由器，是华硕官方颁布的首款高通四核双频无线路由器。
安全钻研人员发现，在华硕RT-AC58U路由器中存在跨站剧本攻击缝隙。分析批注，该缝隙允许远程攻击者向设备注入肆意Web或HTML剧本，导致Logout.asp, Main_Login.asp, apply.cgi, clients.asp, disk.asp, disk_utility.asp, or internet.asp等页面均受到影响。
国内露出在互联网的该缝隙有关网络资产散布图

缝隙验证

POC：

https://github.com/remix30303/AsusLeak

建复建议

目前厂商已颁布解决上述缝隙的固件更新，建议有关用户实时查抄更新。
还未颁布有关缝隙的补丁，请关注官网更新：https://www.asus.com/Microsite/2015/networks/routerfirmware_update/
此表，建议有关用户应采取的其他安全防护措施如下：
（1）最大限度地削减所有节造系统设备和/或系统的网络露出，并确保无法从Internet接见。
（2）定位防火墙防护的节造系统网络和远程设备，并将其与业务网络隔离。

（3）当必要远程接见时，请使用安全步骤如虚构专用网络（VPN），要意识到VPN可能存在的缝隙，需将VPN更新到最新版本。

参考链接

http://www.cnvd.org.cn/flaw/show/CNVD-2018-21251
https://nvd.nist.gov/vuln/detail/CVE-2018-18287#

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

华硕路由器跨站剧本攻击缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线