关键漏洞信息 漏洞概述 CVE ID: CVE-2025-60772 标题: NETLINK HG322G Router Improper Authentication Vulnerability 发现者: Sathishkumar M R 状态: Public 公开披露日期: 2025-10-18 CVE分配日期: 2025-10-17 严重性: CVSS v3.1 基本分数: 8.2 (高) 调整后的CVSS: 7.8 漏洞摘要 存在一个不当的身份验证漏洞,攻击者可以在未进行身份验证的情况下利用NETLINK HG322G GPON ONU路由器的Web管理接口中的密码重置端点来重置管理员密码。 影响的产品 厂商: NETLINK 产品: HG322G GPON ONU 硬件版本: V1.3 固件版本: V1.0.00-231017 (已结束生命周期) 技术细节 设备暴露了一个不验证会话令牌、身份验证或CSRF保护的密码重置端点。攻击者可以通过精心设计的HTTP POST请求调用该端点来重置管理员密码。 影响 机密性: 低 — 主要重置凭据而不是直接提取数据。 完整性: 直接观察到 — 攻击者可以更改配置和固件(导致更广泛的完整性影响)。 可用性: 高 — 攻击者可以锁定合法管理员(管理DoS)。 权限提升: 是 — 未经身份验证的攻击者获得完全的管理权限。 时间线 2025-08-22: 发现漏洞。 2025-08-23: 向厂商报告。 2025-10-17: 分配CVE ID。 2025-10-18: 公开披露。 缓解与建议 禁用路由器上的远程(WAN) Web管理。 将管理访问限制为受信任的IP地址或将其置于管理VLAN之后。 更换或隔离受影响的设备,因为列出的固件已结束生命周期且不太可能接收补丁。 如果厂商提供修复或固件更新,请立即应用并验证管理接口。 监控未经授权的配置更改和意外的出站连接。