关键信息 公告标识: AS-2026-001: ADM 发布日期: 2026-02-03 严重程度: Important 状态: Ongoing 漏洞陈述 多个证书验证漏洞影响了ADM: - 更新DDNS设置时 - 发送HTTPS请求到服务器时 - 查询外部服务器获取设备WAN IP地址时 - 在第三方NAT遍历模块中 影响产品 产品版本: ADM 4.1.0至ADM 4.3.3.ROF1及ADM 5.0.0至ADM 5.1.1.RCI1 漏洞详情 CVE-2026-24932 - 严重性: 高 - CVSS4 基础分数: 8.9 - CVSS4 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N - 问题: DDNS更新过程中,未能正确验证DDNS服务器的TLS/SSL证书,可能导致中间人攻击。 CVE-2026-24933 - 严重性: 高 - CVSS4 基础分数: 8.9 - CVSS4 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N - 问题: API通信组件未能验证服务器的SSL/TLS证书,可导致中间人攻击。 CVE-2026-24934 - 严重性: 中 - CVSS4 基础分数: 6.3 - CVSS4 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N - 问题: DDNS功能使用不安全的HTTP连接,可能使设备更新DDNS记录至错误IP地址。 CVE-2026-24935 - 严重性: 中 - CVSS4 基础分数: 6.3 - CVSS4 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N - 问题: 第三方NAT遍历模块未能验证签名服务器上的SSL/TLS证书,可使MitM攻击影响服务可用性或方便进一步攻击。 修复信息 已修复版本: ADM 5.1.2.RE31