CVE-2018-25120CVE-2018-25120是D-Link DNS-343 ShareCenter设备中一个严重的命令注入漏洞。该漏洞存在于邮件测试功能中,攻击者可以通过Web维护脚本向内部goForm端点'/goform/Mail_Test'提交表单数据,由于应用程序未对用户输入进行充分的验证和过滤,直接将多个表单参数传递给系统邮件工具,导致攻击者可以在服务器上注入任意Shell命令。由于该漏洞无需认证即可利用,攻击者可以远程执行代码,并以root权限在设备上执行操作。D-Link DNS-343产品线已被官方宣布停止生命周期(EOL),不再获得安全更新支持。此漏洞CVSS评分高达9.8,属于紧急严重级别,对使用该设备的用户构成极高风险。
漏洞根源在于/goform/Mail_Test端点的处理逻辑。当用户提交邮件测试请求时,Web应用程序将表单中的多个参数(如收件人地址、发件人地址、邮件服务器配置等)直接拼接到系统命令字符串中调用邮件工具。攻击者可以在这些参数中注入Shell元字符和命令,如使用分号(;)、管道符(|)或反引号(`)等来终止当前命令并插入恶意命令。由于缺乏输入验证和参数过滤,注入的命令将被系统shell解析执行。由于邮件功能通常需要较高权限运行,攻击者可以获取root级别的代码执行能力,实现对设备的完全控制。