CVE-2025-56009CVE-2025-56009是KeeneticOS路由器固件中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于设备的Web管理界面API端点'/rci'中,存在于4.3版本之前的KeeneticOS固件中。攻击者可以通过精心构造的恶意网页,诱导已登录的管理员用户访问,从而在不知情的情况下执行未经授权的操作。具体而言,攻击者可以利用此漏洞在路由器上添加具有完全权限的新用户账户,从而实现对设备的完全接管。由于该漏洞不需要任何身份验证凭证,且无需用户交互即可被触发,因此具有较高的实际威胁性。攻击者只需要诱骗管理员访问一个包含恶意请求的网页,即可利用其已认证的会话来执行特权操作。这使得攻击者能够绕过正常的认证流程,以管理员权限在设备上创建后门账户,从而持久化控制受影响的Keenetic路由器设备。
KeeneticOS的Web管理接口存在CSRF漏洞,攻击者可利用/rci API端点执行未授权的管理操作。该API端点用于接收和执行配置命令,但缺少有效的CSRF令牌验证机制。当管理员用户访问攻击者控制的恶意网页时,页面中的JavaScript代码会自动向/rci端点发送POST请求。由于浏览器会自动携带目标域的Cookie信息,路由器会认为该请求来自已认证的管理员用户。攻击者通过构造特定的JSON payload,可以调用系统命令添加新用户。例如,发送包含user和password参数的命令来创建一个具有管理员权限的新账户。由于/rci端点直接执行底层系统命令,攻击者可以实现对路由器的完全控制。此漏洞的利用复杂度较低,攻击门槛不高,攻击者只需具备基本的Web攻击知识即可实施攻击。