OpenWrt 于 12 月 6 日发布安全公告，报告称 attended.sysupgrade 服务存在严重漏洞，安全研究员 RyotaK 在家庭实验室路由器升级过程中，发现了 OpenWrt 更新服务中的漏洞，CVSS 评分高达 9.3，编号为 CVE-2024-54143。

　　该漏洞主要存在于 OpenWrt 的按需镜像服务器 ASU中，该服务支持用户根据自身需求定制固件。

　　公告称该漏洞无需身份验证即可利用，影响范围广泛，波及使用在线固件升级、或 attended.sysupgrade CLI 升级的 OpenWrt 设备。

　　攻击者可以利用该漏洞绕过完整性检查，悄无声息地修改固件，或在固件构建过程中注入恶意命令，最终控制用户设备。

　　援引公告内容，该漏洞的产生，源于两个主要问题：

　　OpenWrt 团队表示，目前没有证据表明 downloads.openwrt.org 提供的镜像受到影响，但由于可见性限制，建议用户安装新生成的镜像，替换可能存在风险的固件。

　　OpenWrt 官方已发布补丁修复了该漏洞，强烈建议用户尽快更新系统，以保障设备安全。