关键漏洞信息 漏洞概述 CVE编号: CVE-2025-36519, CVE-2025-41427, CVE-2025-48077, CVE-2025-48789, CVE-2025-48800 受影响产品: ELECOM无线LAN路由器的多个型号和版本 漏洞详情 不受限制的危险类型文件上传 (CVE-434) - CVSS评分: 5.3 (AV:N/AC:L/PR:L/UI:N/SC:N/SL:U/S:U/I:A/N/A) - CVSS评分: 4.3 (AV:N/AC:L/PR:L/UI:N/SC:N/SL:U/S:U/I:A/H/A:H) 连接诊断页面中的OS命令注入 (CVE-78) - CVSS评分: 8.7 (AV:N/AC:L/PR:L/UI:N/SC:H/SL:U/S:U/I:H/A:H) - CVSS评分: 8.6 (AV:N/AC:L/PR:L/UI:N/SC:H/SL:U/S:U/I:H/A:H) WebGUI中的存储型跨站脚本攻击 (CVE-79) - CVSS评分: 4.8 (AV:N/AC:L/AT:N/PR:1/O:A/YVC:N/VN:V/AN:V/SC:S/SL:U/S:U/I:A/N/A) - CVSS评分: 3.4 (AV:N/AC:L/PR:L/UI:R/SC:L/OL:O/AN:V/SC:S/SL:U/S:U/I:A/N/A) telnet函数中的OS命令注入 (CVE-78) - CVSS评分: 9.3 (AV:N/AC:L/AT:N/PR:N/UI:Y/VC:H/VH:H/VA:H/SC:N/SL:U/S:U/I:A/N/A) - CVSS评分: 9.8 (AV:N/AC:L/PR:N/UI:N/SC:U/C:H/I:A/H) minigui SOAP服务中的OS命令注入 (CVE-78) - CVSS评分: 9.3 (AV:N/AC:L/AT:N/PR:N/UI:Y/VC:H/VH:H/VA:H/SC:N/SL:U/S:U/I:A/N/A) - CVSS评分: 9.8 (AV:N/AC:L/PR:N/UI:N/SC:U/C:H/I:A/H) 影响 特权用户上传恶意文件可执行任意代码 远程认证攻击者可执行任意OS命令 访问WebGUI的用户可能在浏览器中执行任意脚本 远程未认证攻击者可执行任意OS命令 解决方案 更新固件至最新版本 停止使用不再支持的产品,并采取以下缓解措施: - 更改WebGUI登录密码 - 不访问其他网站 - 使用后关闭Web浏览器 - 删除存储在浏览器中的WebGUI登录密码 参考资料 JPCERT/CC Addendum 漏洞分析由JPCERT/CC提供