CVE-2024-3080 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ASUS Router APP 存在**授权问题**。 💥 **后果**：允许**远程攻击者**直接登录设备，完全绕过安全防线。

🔍 **CWE**：CWE-287（身份验证不当）。 🐛 **缺陷**：认证逻辑被绕过，攻击者无需合法凭证即可访问系统。

📦 **厂商**：ASUS（华硕）。 📱 **产品**：ZenWiFi XT8 等 ASUS 路由器系列。

🔓 **权限**：获得**设备管理员**权限。 📊 **数据**：可读取/修改配置，控制网络流量，风险极高（CVSS 满分级）。

📉 **门槛**：**极低**。 🌐 **条件**：远程（AV:N）、无需认证（PR:N）、无需用户交互（UI:N）。

🧪 **Exp**：**有**。 🔗 **PoC**：ProjectDiscovery Nuclei 模板已公开，利用路径遍历（如 `/js/..%2f%2f`）即可绕过。

🔎 **自查**：扫描路由器 URL 是否包含路径遍历字符（`..%2f`）。 📡 **工具**：使用 Nuclei 模板 `CVE-2024-3080.yaml` 进行自动化检测。

🛡️ **状态**：数据未提及官方具体补丁版本。 ⚠️ **建议**：立即检查 ASUS 官网固件更新，应用最新安全修复。

🚧 **临时规避**：若无法升级，建议**关闭远程管理**功能。 🔒 **隔离**：将路由器置于隔离 VLAN，限制外部访问入口。

🔥 **优先级**：**紧急**。 📈 **理由**：CVSS 向量显示影响完整性、机密性和可用性均为高，且利用简单，需立即处置。