宏碁本週發布安全公告,預告將針對Wave 7家用路由器系列發布韌體更新,以修補2個CVSS風險值10.0的安全漏洞。
Wave 7為宏碁的家用Wi-Fi 7 Mesh網狀網路路由器。宏碁經由外部安全研究人員Gergo Pap通報獲知兩項與存取控制結構及韌體密碼防護機制有關的漏洞,公司正在開發韌體更新,將在完成後提供下載更新。
這兩項漏洞編號分別為CVE-2026-49200及CVE-2026-49201。其中CVE-2026-49200屬於存取控制缺陷。攻擊者未經驗證也可經由Web介面存取裝置韌體中的acer_cgi.log檔。這個檔案包含明碼的Web及Telnet登入憑證,而導致非授權存取系統。
CVE-2026-49201則是負責處理裝置備份的upload.cgi包含寫死的AES加密金鑰。這讓攻擊者得以解密系統備份、修改後再加密,利於持久性的後門注入。
兩項漏洞皆為CVSS評分10.0的重大風險漏洞,影響的是執行T7c_GBL_1.01.000055以前版本韌體的Wave 7產品。宏碁將在下一版韌體更新解決,呼籲用戶屆時應儘速更新。該公司預定6月底先釋出目標修補程式。
宏碁並未說明是否有漏洞濫用活動的跡象。
