CVE-2025-50650D-Link DI-8003 路由器固件版本 16.07.26A1 中存在缓冲区溢出漏洞。该漏洞由 /router.asp 端点对 routes_static 参数的输入大小验证不足引起。由于缺乏有效的边界检查,攻击者无需认证即可通过网络发送特制数据包触发溢出。此漏洞可能导致设备服务崩溃,进而造成拒绝服务。根据 CVSS 3.1 评分,该漏洞得分为 7.5 分,属于高危级别。鉴于此类内存破坏漏洞的特性,建议用户立即采取防护措施。
漏洞根源在于 D-Link DI-8003 Web 管理接口在处理 `routes_static` 参数时未进行严格的长度校验。具体而言,当攻击者向 `/router.asp` 路径提交包含超长字符串的请求时,后端程序直接将用户输入拷贝至栈上的固定大小缓冲区。由于未对输入长度与缓冲区容量进行比较,超长数据会覆盖相邻的内存区域,触发缓冲区溢出。根据 CVSS 向量分析,该漏洞利用难度低(AC:L),且无需用户交互(UI:N)和权限(PR:N)。虽然官方评分主要强调了可用性影响(A:H),但在嵌入式 Linux 环境中,此类栈溢出往往允许攻击者控制指令指针,进而实现远程代码执行(RCE),获取设备 root 权限,导致设备被完全接管。