TWCERT/CC 发现多个 Billion Electric 路由器型号存在严重漏洞，其中包括 CVE-2024-11980 身份验证缺失漏洞，CVSSv3 得分高达 10.0，攻击者可利用该漏洞获取敏感信息、修改 Wi-Fi 设置甚至重启设备。此外，还存在身份验证绕过、密码明文存储和操作系统命令注入等漏洞。Billion Electric 已发布固件更新，建议用户尽快更新至最新版本，例如 1.04.1.592.8 或更高版本，以降低安全风险。

⚠️ **CVE-2024-11980：身份验证缺失漏洞**：该漏洞允许未经身份验证的远程攻击者利用特定功能中缺失的身份验证检查，获取敏感设备信息、修改 Wi-Fi SSID 和重启设备，严重程度最高，CVSSv3 得分 10.0。

🔐 **CVE-2024-11981：身份验证绕过漏洞**：该漏洞允许未经授权访问任意网页，可能暴露敏感用户数据，CVSSv3 得分 7.5。

🔑 **CVE-2024-11982：密码明文存储漏洞**：该漏洞允许具有管理员权限的攻击者检索以明文存储的用户密码，CVSSv3 得分 7.2。

💻 **CVE-2024-11983：操作系统命令注入漏洞**：该漏洞允许具有管理员权限的远程攻击者注入和执行任意系统命令，CVSSv3 得分 7.2。

TWCERT/CC 披露了影响多个 Billion Electric 路由器型号的多个漏洞，包括 M100、M150、M120N 和 M500。这些漏洞的严重程度不等，其中最严重的漏洞（CVE-2024-11980）的 CVSSv3 得分为 10.0，表明被利用的可能性很高。CVE-2024-11980： 身份验证缺失这个关键漏洞允许未经身份验证的远程攻击者利用特定功能中缺失的身份验证检查。成功利用漏洞可使攻击者获取敏感设备信息。修改 Wi-Fi SSID，可能中断网络连接或促进进一步攻击。重启设备，导致拒绝服务。其他漏洞除了关键的身份验证缺失漏洞外，TWCERT/CC 还发现了以下漏洞：CVE-2024-11981 (CVSSv3 7.5)： 身份验证绕过： 允许未经授权访问任意网页，可能会暴露敏感的用户数据。CVE-2024-11982（CVSSv3 7.2）： 密码的明文存储：允许具有管理员权限的攻击者检索以明文存储的用户密码。CVE-2024-11983 (CVSSv3 7.2)： 操作系统命令注入： 允许具有管理员权限的远程攻击者注入和执行任意系统命令。缓解措施Billion Electric 已发布固件更新，以解决这些漏洞。强烈建议受影响路由器型号的用户将固件更新至以下版本：固件版本 1.04.1.592.x： 更新至 1.04.1.592.8 或更高版本。固件版本 1.04.1.613.x： 更新至 1.04.1.613.13 或更高版本。所有其他固件版本 1.04.1.x： 更新至 1.04.1.675 或更高版本。TWCERT/CC 建议用户优先更新其设备，以降低被利用的风险。