在DrayTek路由器的熱點服務入口和用戶管理登錄頁面中發現了一個跨站腳本(Cross-Site Scripting)漏洞(CVE-2023-23313)。
未經驗證的攻擊者可以利用這個漏洞的CGI腳本在用戶的瀏覽器寫入並儲存任意的JavaScript代碼。由於寫入的代碼會永久儲存, 使每位用戶訪問該網頁時都會觸發這些惡意程序。故在此呼籲所有受影響路由器的使用者應立即進行安全性韌體更新以避免受到 漏洞攻擊。
| 機種 | 修正之韌體版本 |
|---|---|
| Vigor3910 | 4.3.2.2 |
| Vigor3220 Series | 3.9.7.4 |
| Vigor2962 Series | 4.3.2.2 |
| Vigor1000B | 4.3.2.2 |
| Vigor2952 / 2952P | 3.9.7.4 |
| Vigor2927 Series | 4.4.2.3 |
| Vigor2927 LTE Series | 4.4.2.3 |
| Vigor2926 Series | 3.9.9.1 |
| Vigor2926 LTE Series | 3.9.9.1 |
| Vigor2925 Series | 3.9.4 |
| Vigor2925 LTE Series | 3.9.4 |
| Vigor2915 Series | 4.4.2.1 |
| Vigor2866 Series | 4.4.1.1 |
| Vigor2866 LTE Series | 4.4.1.1 |
| Vigor2865 Series | 4.4.1.1 |
| Vigor2865 LTE Series | 4.4.1.1 |
| Vigor2862 Series | 3.9.9.1 |
| Vigor2862B Series | 3.9.9.1 |
| Vigor2862 LTE Series | 3.9.9.1 |
| Vigor2860 Series | 3.9.4 |
| Vigor2860 LTE Series | 3.9.4 |
| Vigor2832 Series | 3.9.6.3 |
| Vigor2766 Series | 4.4.2.1 |
| Vigor2765 Series | 4.4.2.1 |
| Vigor2763 Series | 4.4.2.2 |
| Vigor2762 Series | 3.9.6.5 |
| Vigor2135 Series | 4.4.2.1 |
| Vigor2133 Series | 3.9.6.5 |
| Vigor166 | 4.2.4.1 |
| Vigor165 | 4.2.4.1 |
| Vigor130 | 3.8.5.1 |
| VigorNIC 132 | 3.8.5.1 |
如果對於我們的產品有任何與安全性相關的疑慮,請聯繫 DrayTek 技術支援團隊 取得進一步聯繫。