CVE-2025-50660D-Link DI-8003路由器固件版本16.07.26A1中存在严重的缓冲区溢出漏洞。该漏洞源于设备对`/url_member.asp`接口中的`name`参数处理不当。攻击者无需经过身份认证,也无需用户交互,即可通过网络向受影响设备发送特制的数据包。由于程序未对输入数据的长度进行严格的边界检查,导致堆栈缓冲区被溢出,成功利用该漏洞可导致设备服务拒绝响应,进而造成网络服务不可用。鉴于该设备通常部署在网络边界,此漏洞对网络安全构成较高风险。
该漏洞位于D-Link DI-8003路由器的Web管理接口中,具体涉及`/url_member.asp`文件的处理逻辑。在处理HTTP请求时,后端程序直接获取用户提交的`name`参数,并将其作为参数传递给不安全的内存拷贝函数(如`strcpy`),而未预先验证该字符串的长度是否超过了目标缓冲区的大小。由于CVSS向量显示AV:N/AC:L/PR:N/UI:N,攻击者可以通过局域网或互联网直接构造超长字符串的恶意请求。当超长数据写入固定大小的缓冲区时,多余的数据将覆盖相邻的内存区域,包括堆栈上的返回地址。这会破坏程序的正常执行流,导致设备崩溃或重启。虽然本次评分仅显示可用性影响(A:H),但在某些条件下,此类栈溢出也可能被进一步利用以执行任意代码。