內容說明

研究人員發現DrayTek DrayOS存在使用未初始化變數(Use of Uninitialized Variable)漏洞(CVE-2025-10547)。未經身分鑑別之遠端攻擊者可透過發送特製HTTP或HTTPS請求至裝置網頁介面，進而造成記憶體毀損與系統當機，在特定條件下甚至可達成執行任意程式碼，請儘速確認並進行修補。

 

影響平台

Vigor1000B型號4.4.3.6(不含)以前版本
Vigor2962型號4.4.3.6(不含)以前版本或4.4.5.1(不含)以前版本
Vigor3910型號4.4.3.6(不含)以前版本或4.4.5.1(不含)以前版本
Vigor3912型號4.4.3.6(不含)以前版本或4.4.5.1(不含)以前版本
Vigor2135型號4.5.1(不含)以前版本
Vigor2763型號4.5.1(不含)以前版本
Vigor2765型號4.5.1(不含)以前版本
Vigor2766型號4.5.1(不含)以前版本
Vigor2865 Series型號4.5.1(不含)以前版本
Vigor2865 LTE Series型號4.5.1(不含)以前版本
Vigor2865L-5G Series型號4.5.1(不含)以前版本
Vigor2866 Series型號4.5.1(不含)以前版本
Vigor2866 LTE Series型號4.5.1(不含)以前版本
Vigor2927 Series型號4.5.1(不含)以前版本
Vigor2927 LTE Series型號4.5.1(不含)以前版本
Vigor2927L-5G Series型號4.5.1(不含)以前版本
Vigor2915 Series型號4.4.6.1(不含)以前版本
Vigor2862 Series型號3.9.9.12(不含)以前版本
Vigor2862 LTE Series型號3.9.9.12(不含)以前版本
Vigor2926 Series型號3.9.9.12(不含)以前版本
Vigor2926 LTE Series型號3.9.9.12(不含)以前版本
Vigor2952型號3.9.8.8(不含)以前版本
Vigor2952P型號3.9.8.8(不含)以前版本
Vigor3220型號3.9.8.8(不含)以前版本
Vigor2860 Series型號3.9.8.6(不含)以前版本
Vigor2860 LTE Series型號3.9.8.6(不含)以前版本
Vigor2925 Series型號3.9.8.6(不含)以前版本
Vigor2925 LTE Series型號3.9.8.6(不含)以前版本
Vigor2133 Series型號3.9.9.4(不含)以前版本
Vigor2762 Series型號3.9.9.4(不含)以前版本
Vigor2832 Series型號3.9.9.4(不含)以前版本
Vigor2620 Series型號3.9.9.5(不含)以前版本
VigorLTE 200n型號3.9.9.5(不含)以前版本

 

處置建議

 
官方已針對漏洞釋出修復更新，請參考官方說明進行更新，網址如下：
https://www.draytek.com/about/security-advisory/use-of-uninitialized-variable-vulnerabilities/
https://www.draytek.com/zh/support/latest-firmwares/

 

參考資料

1. https://nvd.nist.gov/vuln/detail/CVE-2025-10547
2. https://www.draytek.com/about/security-advisory/use-of-uninitialized-variable-vulnerabilities/
3. https://www.draytek.com/zh/support/latest-firmwares/ 

新聞來源：https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/Vulnerability_Alert_Announcements/98fe377c-50fa-4e62-b58e-5fd3c2333fe5/
發布日期：15/10/2025