漏洞公告
2024年4月漏洞公告
来源:ceshi 发布时间:2024-11-19
attended.sysupgrade 服务存在严重漏洞(CVE-2024-54143),攻击者可利用该漏洞污染固件镜像,向用户推送恶意固件。
安全研究员 RyotaK 在家庭实验室路由器升级过程中,发现了 OpenWrt 更新服务中的漏洞,CVSS 评分高达 9.3,编号为 CVE-2024-54143。
该漏洞主要存在于 OpenWrt 的按需镜像服务器 ASU(Attended Sysupgrade)中,该服务支持用户根据自身需求定制固件。
公告称该漏洞无需身份验证即可利用,影响范围广泛,波及使用在线固件升级、firmware-selector.openwrt.org 或 attended.sysupgrade CLI 升级的 OpenWrt 设备。
攻击者可以利用该漏洞绕过完整性检查,悄无声息地修改固件,或在固件构建过程中注入恶意命令,最终控制用户设备。
返回列表
