Skip to main content
Skip to main content

Web GUI 密码恢复和暴露安全漏洞

NETGEAR 发现在禁用密码恢复功能的情况下存在暴露 web GUI 登录密码的安全问题。当攻击者可以访问内部网络或在路由器上启用远程管理时,就会出现此漏洞。远程管理功能默认关闭;用户可以通过高级设置打开远程管理。

以下受影响设备现在可进行固件修复。如需下载修复了密码恢复漏洞的固件版本,请单击您机型的链接,然后访问固件版本页面查看说明:

  • R8500
  • R8300
  • R7000
  • R6400
  • R7300
  • R7100LG
  • R6300v2


NETGEAR 对以下设备进行了测试,并确认这些设备不受网页密码恢复漏洞影响:

  • DGN2200v4
  • V6510


对于以下受影响设备,NETGEAR 建议按此文章中说明的处理程序进行操作。


路由器型号和固件版本:

  • R6200 v1.0.1.56_1.0.43
  • R6200v2 v1.0.3.8_10.1.6
  • R6250 v1.0.4.2_10.1.10
  • R6300 v1.0.2.78_1.0.58
  • R6700 v1.0.0.26_10.0.26
  • R6900 v1.0.0.4_1.0.10
  • R7900 v1.0.1.4_10.0.12
  • R8000 v1.0.3.4_1.1.2
  • VEGN2610 v1.0.0.36
  • AC1450 v1.0.0.34_10.0.16
  • WNR1000v3 v1.0.2.68_60.0.93
  • WNDR3400v2 v1.0.0.48_1.0.75
  • WNDR3400v3 v1.0.1.4_1.0.52
  • WNR3500Lv2 v1.2.0.34_40.0.75
  • WNDR3700v3 v1.0.0.40_1.0.32
  • WNDR4000 v1.0.2.4_9.1.86
  • WNDR4500 v1.0.1.44_1.0.73
  • WNDR4500v2 v1.0.0.60_1.0.38

 

有线网关型号和固件版本:

  • C6300 v2.01.14

 

DSL 网关型号和固件版本:

  • D6400 v1.0.0.44
  • D6220 v1.0.0.12
  • D6300 v1.0.0.96
  • D6300B v1.0.0.40
  • DGN2200Bv4 v1.0.0.68

 

如您的受影响产品尚无可用的固件修复版本,NETGEAR 强烈建议您按照以下处理程序操作,以修复漏洞:

  1. 在您的设备上手动启用密码恢复功能。
      如需更多信息,请访问配置路由器管理密码恢复。
  2. 确保已禁用远程管理。
    默认禁用远程管理。有关更多信息,请参阅 http://www.netgear.com/support/ 处的产品用户手册。

如果您未完成这两个步骤,则仍然可能存在密码暴露风险。如因未按照此通知的建议操作造成的任何后果,NETGEAR 概不负责。




我们非常欢迎您向我们提出任何安全问题,并对此高度重视。NETGEAR 持续监控已知和未知威胁。积极主动而非被动地应对新出现的安全问题,是 NETGEAR 产品支持的基础。

NETGEAR 的使命是成为创建互联世界的创新领导者。为了达成这一使命,我们努力赢得那些将 NETGEAR 产品用于连接的客户的信任,并竭力维护这种信任。

如果您有任何安全问题,请发送电子邮件至 security@netgear.com 联系我们。