漏洞关键信息 漏洞详情 CVE ID: CVE-2025-12386 - 发布日期: 2026年1月27日 - 厂商: Pix-Link - 产品: LV-WR21Q - 漏洞版本: V108_108 - 漏洞类型: 缺少对关键功能的认证 (CWE-306) - 报告来源: 向CERT Polska报告 CVE ID: CVE-2025-12387 - 发布日期: 2026年1月27日 - 厂商: Pix-Link - 产品: LV-WR21Q - 漏洞版本: V108_108 - 漏洞类型: 异常或例外条件下的不正确检查 (CWE-754) - 报告来源: 向CERT Polska报告 描述 CERT Polska 接到了关于Pix-Link LV-WR21Q固件中的漏洞报告,并参与了漏洞披露的协调。 CVE-2025-12386: Pix-Link LV-WR21Q对端点 没有实施任何形式的认证。远程未认证的攻击者可以利用此端点,例如:获取访问点的明文密码。 CVE-2025-12387: Pix-Link LV-WR21Q路由器语言模块中的漏洞允许远程攻击者通过发送包含不存在的语言参数的特别制作的HTTP POST请求触发拒绝服务(DoS)。这使服务器无法正确提供 文件,导致管理面板无法正常工作,直到语言设置恢复为正确值期间产生DoS。拒绝服务仅影响管理面板,不影响其他路由器功能。 致谢 感谢Wojciech Cybowski提交了负责任的漏洞报告。 备注 供应商已提前收到这些漏洞的通知,但没有回复漏洞细节或漏洞版本范围。仅测试了版本V108_108,并确认为易受攻击,其他版本未测试,也可能易受攻击。