asus asuswrt os命令中使用的特殊元素转义处理不恰当（os命令注入）

CVE编号

CVE-2018-20334

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-20

漏洞描述

ASUSWRT是中国台湾华硕（ASUS）公司的一款运行在其路由器中的固件。
ASUS ASUSWRT 3.0.0.4.384.20308版本中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://www.asus.com.cn/

参考链接
https://starlabs.sg/advisories/18-20334/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	asus	asuswrt	3.0.0.4.384.20308	-
	运行在以下环境
	硬件	asus	gt-ac2900	-	-
	运行在以下环境
	硬件	asus	gt-ac5300	-	-
	运行在以下环境
	硬件	asus	gt-ax11000	-	-
	运行在以下环境
	硬件	asus	rt-ac1200	-	-
	运行在以下环境
	硬件	asus	rt-ac1200g	-	-
	运行在以下环境
	硬件	asus	rt-ac1200ge	-	-
	运行在以下环境
	硬件	asus	rt-ac1200_v2	-	-
	运行在以下环境
	硬件	asus	rt-ac1750	-	-
	运行在以下环境
	硬件	asus	rt-ac1750_b1	-	-
	运行在以下环境
	硬件	asus	rt-ac1900p	-	-
	运行在以下环境
	硬件	asus	rt-ac3100	-	-
	运行在以下环境
	硬件	asus	rt-ac3200	-	-
	运行在以下环境
	硬件	asus	rt-ac51u	-	-
	运行在以下环境
	硬件	asus	rt-ac5300	-	-
	运行在以下环境
	硬件	asus	rt-ac55u	-	-
	运行在以下环境
	硬件	asus	rt-ac56r	-	-
	运行在以下环境
	硬件	asus	rt-ac56s	-	-
	运行在以下环境
	硬件	asus	rt-ac56u	-	-
	运行在以下环境
	硬件	asus	rt-ac66r	-	-
	运行在以下环境
	硬件	asus	rt-ac66u	-	-
	运行在以下环境
	硬件	asus	rt-ac66u-b1	-	-
	运行在以下环境
	硬件	asus	rt-ac66u_b1	-	-
	运行在以下环境
	硬件	asus	rt-ac68p	-	-
	运行在以下环境
	硬件	asus	rt-ac68u	-	-
	运行在以下环境
	硬件	asus	rt-ac86u	-	-
	运行在以下环境
	硬件	asus	rt-ac87u	-	-
	运行在以下环境
	硬件	asus	rt-ac88u	-	-
	运行在以下环境
	硬件	asus	rt-acrh12	-	-
	运行在以下环境
	硬件	asus	rt-acrh13	-	-
	运行在以下环境
	硬件	asus	rt-ax3000	-	-
	运行在以下环境
硬件	asus	rt-ax56u	-	-
运行在以下环境
硬件	asus	rt-ax58u	-	-
运行在以下环境
硬件	asus	rt-ax88u	-	-
运行在以下环境
硬件	asus	rt-ax92u	-	-
运行在以下环境
硬件	asus	rt-g32	-	-
运行在以下环境
硬件	asus	rt-n10+d1	-	-
运行在以下环境
硬件	asus	rt-n10e	-	-
运行在以下环境
硬件	asus	rt-n14u	-	-
运行在以下环境
硬件	asus	rt-n16	-	-
运行在以下环境
硬件	asus	rt-n19	-	-
运行在以下环境
硬件	asus	rt-n56r	-	-
运行在以下环境
硬件	asus	rt-n56u	-	-
运行在以下环境
硬件	asus	rt-n600	-	-
运行在以下环境
硬件	asus	rt-n65u	-	-
运行在以下环境
硬件	asus	rt-n66r	-	-
运行在以下环境
硬件	asus	rt-n66u	-	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-78 OS命令中使用的特殊元素转义处理不恰当（OS命令注入）