关键信息 漏洞描述 漏洞类型: 未授权访问安全漏洞 影响产品: H3C ERG2系列和GR系列路由器 发布时间: 2025年6月5日 影响版本 H3C ERG2系列路由器: - ERG2200G2, ERG2450W, ERG21200W, ERG21350W, NR1200W, ER3100G2, ER3200G2, ER3260G2, ER5100G2, FR5200G2, FR6300G2, FR8300G2, ER8300G2-X, GR3700, GR5200, GR3800, GR1800AX, GR3000AX, GR5400AX 涉及版本: - ERG2AW-MNW100-R1116及之前版本 - FRHMFG2-MNW100-R1125及之前版本 - MiniGR1B0V100R017及之前版本 - MiniGRW1B0V100R006及之前版本 - SWBRW1A0V100R006及之前版本 - SWBRW1B0V100R008及之前版本 问题描述 在开启远程管理情况下,攻击者可使用特殊的post请求对设备发起攻击,绕过设备安全认证流程,获取设备敏感信息。 解决方案 规避措施: 关闭设备远程Web管理和Telnet管理功能(默认关闭)。 解决方案: 升级修复后版本 - ERG2AW-MNW100 R1117 - FRHMFG2-MNW100-R1126 - MiniGR1B0V100R018L50 - MiniGRW1B0V100R009L50 - SWBRW1A0V100R007L50 - SWBRW1B0V100R009L50 参考资料 漏洞编号: - NVDB-TEMP-CNVDB-2025147886 - NVDB-TEMP-CNVDB-2025879630 - NVDB-TEMP-CNVDB-2025512024 - NVDB-TEMP-CNVDB-2025226817 - NVDB-TEMP-CNVDB-2025784972 来源: 该漏洞由外部安全研究人员:南京邮电大学,王程程(winmt)发现和报告,感谢王程程(winmt)对本次漏洞的积极贡献。