近期，国家信息安全漏洞共享平台（CNVD）收录了网件Netgear多款路由器存在任意命令注入漏洞（CNVD-2016-12093）。综合利用该漏洞，攻击者利用漏洞执行任意系统命令远程控制路由器设备。

一、漏洞情况分析

Netgear R7000、R6400和R8000是美国网件（Netgear）公司的无线路由器产品。Netgear 上述路由器的固件 包含一个任意命令注入漏洞。远程攻击者可能诱使用户访问精心构建的web站点或诱使用户点击设置好的URL，从而以设备root用户权限在受影响的路由器上执行任意命令。CNVD对该漏洞的技术评级为“高危”。目前互联网上已经公开利用代码情况.

二、漏洞影响范围

漏洞影响Netgear R7000路由器，固件版本>= 1.0.7.2，=1.0.1.6，=1.0.3.4， 三、漏洞修复建议

厂商尚未提供漏洞修补方案。CNVD建议用户关注厂商主页，升级到最新版本，避免引发漏洞相关的网络安全事件。

附：参考链接：

https://www.exploit-db.com/exploits/40889/

https://www.netgear.com/

http://www.cnvd.org.cn/flaw/show/CNVD-2016-12093