支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:595

59.5%
立即捐款
一、 漏洞 CVE-2025-8693 基础信息
漏洞信息
                                        # N/A

## 概述  
Zyxel DX3300-T0 固件中存在一个基于身份验证后的命令注入漏洞,位于 `priv` 参数中。

## 影响版本  
- 固件版本:5.50(ABVY.6.3)C0 及更早版本  

## 细节  
攻击者在通过身份验证后,可通过精心构造的请求对 `priv` 参数注入恶意操作系统命令。

## 影响  
成功利用此漏洞的认证用户可在目标设备上执行任意操作系统命令,可能导致设备被完全控制。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A post-authentication command injection vulnerability in the "priv" parameter of Zyxel DX3300-T0 firmware version 5.50(ABVY.6.3)C0 and earlier could allow an authenticated attacker to execute operating system (OS) commands on an affected device.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Zyxel DX3300-T0 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zyxel DX3300-T0是中国合勤(Zyxel)公司的一个小型无线WiFi路由器。 Zyxel DX3300-T0 5.50(ABVY.6.3)C0及之前版本存在操作系统命令注入漏洞,该漏洞源于priv参数存在认证后命令注入,可能导致操作系统命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-8693 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-8693 的情报信息

  • 标题: Security Advisories | Zyxel Networks -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            - 漏洞关键信息:
  - **CVE ID** | **Title** | **Last Updated**
  - CVE-2025-6599, CVE-2025-8693 | Zyxel security advisory for uncontrolled resource consumption and command injection vulnerabilities in certain 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs, Security Routers, and Wireless Extenders | November 18, 2025
  - CVE-2025-8078, CVE-2025-9133 | Zyxel security advisory for post-authentication command injection and missing authorization vulnerabilities in ZLD firewalls | October 21, 2025
  - CVE-2025-7673 | Zyxel security advisory for remote code execution and denial-of-service vulnerabilities of CPE | July 16, 2025
  - CVE-2025-6265 | Zyxel security advisory for path traversal vulnerability in APs | July 15, 2025
  - CVE-2025-1731, CVE-2025-1732 | Zyxel security advisory for incorrect permission assignment and improper privilege management vulnerabilities in USG FLEX H series firewalls | April 22, 2025
  - CVE-2024-11253, CVE-2024-12009, CVE-2024-12010 | Zyxel security advisory for post-authentication command injection vulnerabilities in certain DSL/Ethernet CPE, fiber ONT, and WiFi extender devices | March 11, 2025
  - CVE-2024-40890, CVE-2024-40891, CVE-2025-0890 | Zyxel security advisory for command injection and insecure default credentials vulnerabilities in certain legacy DSL CPE | February 4, 2025
  - CVE-2024-12398 | Zyxel security advisory for improper privilege management vulnerability in APs and security router devices | January 14, 2025
  - CVE-2024-8748, CVE-2024-9197, CVE-2024-9200 | Zyxel security advisory for buffer overflow and post-authentication command injection vulnerabilities in some 4G LTE/5G NR CPE, DSL/Ethernet CPE, fiber ONTs, and WiFi extenders | December 3, 2024
  - CVE-2024-11667 | Zyxel security advisory: protecting against recent firewall threats | November 27, 2024
    Security Advisories | Zyxel Networks
  • https://nvd.nist.gov/vuln/detail/CVE-2025-8693
四、漏洞 CVE-2025-8693 的评论

暂无评论

发表评论