ZTE MF286R SQL注入漏洞

ZTE MF286R SQL注入漏洞

ZTE MF286R是中国中兴通讯（ZTE）公司的一款无线路由器。

一、漏洞分析

 公开日期：2022-12-07

 漏洞编号：CNVD-2022-85533/CVE-2022-39066

 危害等级：高危

 漏洞描述：ZTE MF286R mf286r_b07之前版本存在SQL注入漏洞，该漏洞源于对电话簿接口的输入参数验证不足。经过身份验证的攻击者可利用该漏洞执行任意SQL注入。

二、漏洞影响产品

ZTE MF286R <mf286r_b07

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1027744