关键漏洞信息 漏洞详情 受影响设备: 在 CIRCUTOR 的 TCPRS1+ 设备中发现了五个新的 CVE。 研究背景: 该设备具有物理媒体转换功能、Wi-Fi 通信、集成Web服务器以及用于自动化的MyConfig应用程序。 具体型号: TCPRS1+ 固件版本: 1.0.14 --- 漏洞列表 --- 重点关注漏洞 CVE-2025-64389 - 明文交换敏感信息 描述: 设备在通信操作中明文交换敏感信息。 风险解释: 通过不安全通信协议(如HTTP),攻击者可获取用户、凭证、系统版本等信息。 缓解建议: - 数据加密传输。 - 使用HTTPS等安全协议。 CVE-2025-64387 - 点击劫持 描述: 设备未能防止点击劫持攻击(CWE-1021)。 风险解释: 攻击者可通过隐形的恶意网站覆盖选择性劫持用户操作。 缓解建议: - 设置Content Security Policy (CSP) 策略。 - 配置 SameSite=Strict 的身份验证Cookie。