安全通告 - 涉及华为部分家庭路由产品的连接劫持漏洞
- 预警编号:huawei-sa-CHViSHHR-d50dedde
- 初始发布时间: 2024-04-24
- 更新发布时间: 2024-04-24
华为部分家庭路由器产品存在连接劫持漏洞,成功利用该漏洞可能导致设备产生拒绝服务或者信息泄漏影响。(漏洞编号:HWPSIRT-2023-34408)
此漏洞已经分配了(CVE)ID:CVE-2023-52718
|
受影响产品 |
受影响版本 |
修补版本 |
|
PT9030-15 |
PT9030-15 3.0.3.266 |
PT9030-15 3.0.3.270 |
|
WS7206-10 |
WS7206-10 2.1.0.203 |
WS7206-10 2.1.0.205 |
|
WS7206-10 |
WS7206-10 11.0.5.19 |
WS7206-10 3.0.3.207 |
|
WS7290-15 |
WS7290-15 3.0.3.266 |
WS7290-15 3.0.3.270 |
|
WS8000-10 |
WS8000-16 3.0.3.236 |
WS8000-10 3.0.3.239 |
|
WS8001-10 |
WS8001-10 3.0.3.242 |
WS8001-10 4.0.0.11(V3R2) |
|
WS8002-10 |
WS8002-10 3.0.3.242 |
WS8002-10 4.0.0.11(V3R2) |
|
WS8500-10 |
WS8500-16 3.0.3.235 |
WS8500-10 3.0.3.239 |
|
WS8502-10 |
WS8502-10 3.0.3.242 |
WS8503-10 4.0.0.11(V3R2) |
|
WS8700-10 |
WS8700-10 3.0.3.251 |
WS8700-10 3.0.3.255 |
HWPSIRT-2023-34408:
成功利用该漏洞可能导致设备产生拒绝服务或者信息泄漏影响。
漏洞使用CVSSv3.1计分系统进行评分,详细评分标准请参考:https://www.first.org/cvss/specification-document。
HWPSIRT-2023-34408:
基础得分:6.4
临时得分:6.4
环境得分:NA
CVSS v3.1 Vector: AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
HWPSIRT-2023-34408:
利用漏洞发起攻击的预置条件:
攻击者必须和受害设备接入同一个局域网络中,并获取到受害设备和访问网络的相关信息。
技术细节:
华为部分家庭路由器产品存在连接劫持漏洞,与受害设备在同一局域网络中的攻击者可通过TCP连接序列号和应答号利用该漏洞,成功利用该漏洞可能导致受害设备产生拒绝服务或者信息泄漏影响。
无
支持自动更新的设备会收到系统更新提示,用户通过执行系统更新,完成对漏洞的修复。
HWPSIRT-2023-34408:
该漏洞信息由清华大学的杨宇翔/冯学伟/李琦/徐恪提供。感谢他们对华为产品漏洞的关注!
2024-04-24 V1.0 初始发布;
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
