CVE-2021-46419 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权文件删除漏洞。 🔥 **后果**：攻击者可通过 DELETE 方法删除系统文件和脚本，导致设备功能瘫痪或完全失控。

🛡️ **缺陷点**：HTTP DELETE 方法缺乏访问控制。 ❌ **CWE**：数据未提供具体 CWE ID，但属于典型的**未授权操作**缺陷。

📦 **受影响产品**：Telesquare TLR-2855KS6。 🌍 **厂商**：韩国 Telesquare 公司。 📡 **类型**：LTE 路由器。

💀 **黑客能力**： 1. **删除系统文件**：破坏核心运行环境。 2. **删除脚本**：移除安全监控或管理逻辑。 3. **权限**：无需认证即可执行高危操作。

🔓 **利用门槛**：**极低**。 ✅ **认证**：**无需认证**（Unauthenticated）。 ⚙️ **配置**：直接通过 HTTP DELETE 请求即可触发。

📜 **PoC 情况**： 🔍 **有现成模板**：ProjectDiscovery Nuclei 已收录 CVE-2021-46419 模板。 🌐 **公开链接**：GitHub 及 PacketStorm 均有详细利用说明。

🔍 **自查方法**： 1. 使用 **Nuclei** 扫描该 CVE 模板。 2. 对目标发送 **HTTP DELETE** 请求，观察是否返回成功或报错。 3. 检查是否暴露管理接口且无鉴权。

🛠️ **官方修复**： ⚠️ 数据中**未提及**具体补丁版本或修复链接。 📅 发布时间：2022-04-07，建议联系厂商确认固件更新。

🚧 **临时规避**： 1. **网络隔离**：将路由器置于内网，禁止公网访问。 2. **WAF 规则**：拦截针对管理接口的 **DELETE** 请求。 3. **ACL 限制**：仅允许信任 IP 访问管理页面。

🚨 **优先级**：**高**。 ⚡ **理由**：无需认证即可删除系统文件，直接导致服务不可用（DoS）或系统崩溃，危害极大。