关键信息 漏洞概述 标题: Multiple Vulnerabilities in Alcatel-Lucent OmniAccess Stellar Products 发布日期: 16 July 2023 背景: Alcatel-Lucent 发布了安全更新,解决了其 OmniAccess Stellar 产品中的多个漏洞(CVE-2025-52687, CVE-2025-52688, CVE-2025-52689 和 CVE-2025-52690)。 影响 CVE-2025-52687: 成功利用此漏洞可允许攻击者使用管理员凭据注入恶意 JavaScript 到 Web 流量中,可能导致会话劫持和拒绝服务。 CVE-2025-52688: 成功利用此漏洞可允许攻击者以 root 权限在访问点上执行命令,导致机密性、完整性、可用性和完全控制的损失。CVSSv3.1 评分为 9.8。 CVE-2025-52689: 成功利用此漏洞可允许未授权的攻击者通过伪造登录请求获得有效的会话 ID,从而修改访问点的行为。CVSSv3.1 评分为 9.8。 CVE-2025-52690: 成功利用此漏洞可允许攻击者以 root 身份执行任意命令,导致机密性、完整性、可用性和完全控制的损失。 受影响的产品 AP1100 AWOS 版本 5.0.2 GA 及更早版本 AP1200 AWOS 版本 5.0.2 GA 及更早版本 AP1300 AWOS 版本 5.0.2 GA 及更早版本 AP1400 AWOS 版本 5.0.2 GA 及更早版本 AP1500 AWOS 版本 5.0.2 GA 及更早版本 缓解措施 用户和管理员应立即联系他们的业务合作伙伴并更新到最新版本。 致谢 对发现这些漏洞的研究人员表示感谢,并感谢 Alcatel 在协调披露这些漏洞方面的合作。