计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞，该漏洞的编号为CVE-2024-41992，Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan（智易科技）FMIMG51AX000J路由器上。

　　CERT/CC在周三发布的公告中表示：“该漏洞允许未经身份验证的本地攻击者通过发送特制的数据包来利用Wi-Fi测试套件，从而能够在受影响的路由器上以root权限执行任意命令。”

　　Wi-Fi 测试套件是Wi-Fi 联盟开发的集成平台，可自动测试 Wi-Fi 组件或设备。虽然该工具包的开源组件是公开的，但完整套件仅供其成员使用。

　　SSD Secure Disclosure（漏洞报告公司）于 2024 年 8 月发布了该漏洞的详细信息，称这是一个命令注入案例，可能使威胁行为者能够以 root 权限执行命令。该漏洞最初于 2024 年 4 月报告给 Wi-Fi 联盟。

　　一位独立研究员，其网名为“fj016”，发现并报告了这些安全漏洞，这位研究员还提供了该漏洞的概念验证 (PoC) 漏洞利用程序。

　　“通过此访问权限，攻击者可以修改系统设置，破坏关键网络服务或完全重置设备。这些操作可能导致服务中断，网络数据泄露，并可能导致所有依赖受影响网络的用户失去服务。”

　　由于智易科技股份有限公司未发布补丁，建议其他已包含 Wi-Fi 测试套件的供应商将其从生产设备中完全删除或将其更新至 9.0 或更高版本，以降低被利用的风险clash文件和url。