漏洞概述 Acer发布了一项针对Acer Connect W6x路由器的安全固件更新,旨在解决通过安全研究发现的潜在系统漏洞。这些漏洞包括: 1. 调试服务认证:增强了对TCP端口9000上调试接口的安全控制,防止未经授权的LAN基础交互。 2. Web界面输入验证:改进了Wi-Fi设备阻止功能的输入验证,防止意外的系统命令执行。 3. 认证协议验证:改进了HTTP授权头的处理,确保恶意请求被及时拒绝,而不是绕过认证检查。 4. MQTT代理访问控制:增强了本地MQTT消息代理中的访问控制列表(ACLs),限制通配符主题订阅并限制消息可见性给授权参与者。 5. MQTT有效载荷清理:增加了应用层有效载荷清理到MQTT代理处理逻辑中,以安全过滤传入的消息字符串并减轻任意代码执行的风险。 影响范围 受影响的版本为运行固件版本W6x_GBL_2.00.000005或更早的Acer Connect W6x路由器。 修复方案 所有提到的漏洞已在固件版本W6x_GBL_2.00.000008及更高版本中解决。建议用户按照以下步骤更新固件: 1. 使用以太网电缆或Wi-Fi网络将计算机连接到Acer Connect W6x路由器。 2. 打开网页浏览器并导航到路由器管理控制台(http://192.168.76.1或http://acerconnect.com)。 3. 使用管理员凭据登录。 4. 导航到“系统”>“固件更新”。 5. 选择“检查更新”。 6. 按照屏幕提示下载并安装固件版本W6x_GBL_2.00.000008或更高版本。 注意:在更新过程中不要重启或拔掉路由器。 其他信息 信用:感谢安全研究员rethisis发现并报告这些漏洞。 免责声明:上述信息按“原样”提供,与Acer产品及其供应商无关。使用本页面链接的信息或材料的风险由用户自行承担。Acer保留随时更改或更新本页面内容的权利。