漏洞概述 Acer已收到关于Acer Wave 7路由器中系统漏洞的通知,这些漏洞是通过独立的安全研究发现的。这些漏洞主要集中在访问控制结构和固件加密保护机制上,目前正被积极解决。 影响范围 受影响版本:运行固件版本T7c_GBL_1.01.000055或更早的Acer Wave 7路由器。 修复方案 漏洞详情: 1. Broken Access Control - 描述:设备固件中的 文件可通过Web界面访问,无需认证(包括Web和Telnet),导致未授权的系统访问。该文件包含明文登录凭证。 - 严重性评分:Critical (10.0) - CVSS 4.0向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VE:H/VA:H - CWE标识符:CWE-532:敏感信息插入到日志存档中 2. Hardcoded Cryptographic Key - 描述:负责处理设备备份的 二进制文件包含硬编码的AES加密密钥。这允许攻击者解密、修改和重新加密系统备份,促进持久后门注入。 - 严重性评分:Critical (10.0) - CVSS 4.0向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VE:H/VA:H/SC:H/SH:H/SA:H - CWE标识符:CWE-798:使用硬编码凭证 解决方案: - 上述漏洞计划通过即将到来的固件更新解决。目标修复预计在2026年6月底前部署。 如何更新您的固件: 1. 将您的计算机通过以太网电缆或Wi-Fi网络连接到Acer Wave 7路由器。 2. 打开Web浏览器并导航到路由器管理控制台(http://192.168.78.1 或 http://acerconnect.com)。 3. 使用管理员凭据登录。 4. 导航到“System Management”然后选择“Firmware Update”。 5. 选择“Check for Updates”。 注意:在更新过程中不要重启或拔掉路由器。 信用 Acer感谢安全研究员Gergo Pap发现并报告这些问题。 免责声明 以上信息按“原样”提供,与Acer产品及其供应商的材料相关。您使用本页面链接的信息或材料的风险由您自行承担。Acer保留随时更改或更新本页面内容的权利。