H3C Magic BE18000、H3C Magic NX15、H3C Magic NX400、H3C Magic NX30Pro、H3C Magic R3010
| 产品名称 | 受影响的版本 |
| H3C Magic BE18000路由器 | R004及以前版本 |
| H3C Magic NX15路由器 | R014及以前版本 |
| H3C Magic NX400路由器 | R014及以前版本 |
| H3C Magic NX30 Pro路由器 | R008及以前版本 |
| H3C Magic R3010路由器 | R008及以前版本 |
H3C Magic部分家用路由器存在未授权命令注入风险。攻击者可通过特定组网下发送特殊请求获取设备控制权限。
根据产品定位和使用场景影响分析如下:
(1)产品定位家庭场景,不支持互联网侧通过web或telnet管理设备,不涉及互联网侧攻击;
(2)该漏洞需要攻击者从局域网侧通过有线或无线方式接入,有线需要物理连接设备、无线需要在设备无线接入范围内且破解无线密码,家用设备无线覆盖范围有限,攻击条件有一定局限性;
(3)攻击可能导致用户网络不可用,但设备本身不会主动获取或保存用户敏感信息,不会造成用户敏感信息泄漏。
用户可通过以下方式规避:
(1)开启防蹭网功能,可避免攻击者对无线密码进行爆破;
(2)开启Wi-Fi接入控制,将可疑设备添加至黑名单拒绝接入;
(3)开启访客网络给其他人连接,避免泄露无线密码;
待修复版本发布后建议升级新版本。
CVE-2025-2725、CVE-2025-2726、CVE-2025-2727、CVE-2025-2728、CVE-2025-2729、CVE-2025-2730、CVE-2025-2731、CVE-2025-2732、NVDB-TEMP-CNVDB-2025008766
该漏洞由外部安全研究人员:南京邮电大学,王锦程(winmt)发现和报告,感谢王锦程(winmt)对本次漏洞的积极贡献。