多款Shenzhen Tenda产品命令注入漏洞

CNNVD-ID编号 CNNVD-201711-888
CVE编号 CVE-2017-16923
发布时间 2017-11-24
更新时间 2019-10-23
漏洞类型 操作系统命令注入
漏洞来源 N/A
危险等级 高危
威胁类型 远程或本地
厂 商 tenda

漏洞介绍

Shenzhen Tenda Ac9等都是中国腾达(Tenda)公司的无线路由器产品。app_data_center是其中的一个应用数据中心。

多款Shenzhen Tenda产品中的app_data_center存在命令注入漏洞,该漏洞源于‘sub_A6E8 usbeject_process_entry’函数使用不可信的输入执行系统功能。远程攻击者可通过发送特制的cgi-bin/luci/usbeject?dev_name= GET请求利用该漏洞执行任意的操作系统命令。以下版本受到影响:Shenzhen Tenda Ac9 US_AC9V1.0BR_V15.03.05.14_multi_TD01版本,Ac9 ac9_kf_V15.03.05.19(6318_)_cn版本,Ac15 US_AC15V1.0BR_V15.03.05.18_multi_TD01版本,Ac15 US_AC15V1.0BR_V15.03.05.19_multi_TD01版本,Ac18 US_AC18V1.0BR_V15.03.05.05_multi_TD01版本,Ac18 ac18_kf_V15.03.05.19(6318_)_cn devices版本。

漏洞补丁

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

参考网址

  • 暂无

受影响实体

信息来源