2025.07.17
CVE-2021-31641 – 未授權的 XSS 漏洞
🔒 CHIYU Technology Inc. – CVE 安全性漏洞彙整
| CVE 編號 | 問題類型 | 受影響設備 | 漏洞來源 / 說明 | 可能影響 |
|---|---|---|---|---|
| CVE-2021-31249 | CRLF 揷入漏洞 | BF-430、BF-431、BF-450M | 多個 CGI 組件中 redirect= 參數缺乏驗證 | 可能導致 HTTP 響應分割或日誌注入 |
| CVE-2021-31250 | 儲存型 XSS(跨站腳本攻擊) | BF-430、BF-431、BF-450M | man.cgi、if.cgi、dhcpc.cgi、ppp.cgi 等組件未做輸入清理 | 持久化腳本執行,可能造成帳號盜用 |
| CVE-2021-31251 | Telnet 身份驗證繞過 | BF-430、BF-431、BF-450M、SEMAC | 利用特製請求欺騙 Telnet 伺服器認為用戶已通過驗證 | 可遠端取得未授權的高權限存取 |
| CVE-2021-31252 | 開放式重新導向(Open Redirect) | BF-430、BF-431、BF-450M、BF-630、BF-631、BF631-W、BF830-W、Webpass、SEMAC | 利用特殊 URL 重新導向參數騙取使用者點擊 | 導向惡意網站,有釣魚風險 |
| CVE-2021-31642 | 拒絕服務(DoS) - 整數溢位 | BIOSENSE、Webpass、BF-630、BF-631、SEMAC | page 參數輸入 >32 位元整數導致 Web 介面當機 | 須重新啟動設備才能恢復 |
| CVE-2021-31643 | 反射型 XSS | SEMAC、Biosense、BF-630、BF-631、Webpass | if.cgi 組件中的 username 參數未進行輸入過濾 | 可透過惡意連結觸發腳本執行 |
✅ 建議修正與防範措施
- 輸入驗證: 所有用戶輸入都需進行嚴格檢查與過濾。
- 身份驗證強化: 強化 Telnet 安全性,建議停用或限制使用。
- 輸出編碼處理: 須對輸出內容進行 HTML 特殊字元轉義。
- 韌體更新: 確保使用最新版本韌體以套用修補。
- 網路存取控制: 限制設備介面僅開放給可信任內網。