在没有回应后 安全研究人员公开普联路由器 0day 漏洞

 Garrett 称，普联的设备调试协议 TP-Link Device Debug Protocol 以前就发现过多个漏洞，其中协议版本 1 不需要密码。

他说，SR20 仍然暴露了部分版本 1 的命令，其中一些可作为配置验证。用户只需要发送一个文件名，一个分号和一个参数。路由器收到请求之后会将其导入到 Lua 解释器，以 root 权限运行，并将参数发送到导入文件的 config_test()函数。

因为解释器有 root 权限，用户可以执行任意命令。不过由于默认的防火墙防止了网络访问，因此该漏洞只能在本地触发。                     

本文素材来自互联网