关于H3C Magic部分家用路由器存在命令注入漏洞的安全公告声明

H3C Magic BE18000、H3C Magic NX15、H3C Magic NX400、H3C Magic NX30Pro、H3C Magic R3010

H3C Magic部分家用路由器存在未授权命令注入风险。攻击者可通过特定组网下发送特殊请求获取设备控制权限。

漏洞级别：中危

根据产品定位和使用场景影响分析如下：

（1）产品定位家庭场景，不支持互联网侧通过web或telnet管理设备，不涉及互联网侧攻击；

（2）该漏洞需要攻击者从局域网侧通过有线或无线方式接入，有线需要物理连接设备、无线需要在设备无线接入范围内且破解无线密码，家用设备无线覆盖范围有限，攻击条件有一定局限性；

（3）攻击可能导致用户网络不可用，但设备本身不会主动获取或保存用户敏感信息，不会造成用户敏感信息泄漏。

用户可通过以下方式规避：

（1）开启防蹭网功能，可避免攻击者对无线密码进行爆破；

（2）开启Wi-Fi接入控制，将可疑设备添加至黑名单拒绝接入；

（3）开启访客网络给其他人连接，避免泄露无线密码；

修复版本发布后建议升级新版本。

漏洞编号：

CVE-2025-2725、CVE-2025-2726、CVE-2025-2727、CVE-2025-2728、CVE-2025-2729、CVE-2025-2730、CVE-2025-2731、CVE-2025-2732、NVDB-TEMP-CNVDB-2025008766

来源：

该漏洞由外部安全研究人员：南京邮电大学，王锦程（winmt）发现和报告，感谢王锦程（winmt）对本次漏洞的积极贡献。