CVE-2025-60559CVE-2025-60559是D-Link DIR600L Ax路由器固件FW116WWb01中的一个高危缓冲区溢出漏洞。该漏洞存在于formSetDomainFilter函数中,攻击者可以通过curTime参数注入超长字符串,触发栈缓冲区溢出。无需任何认证即可利用此漏洞,远程攻击者可直接通过HTTP请求向目标设备发送恶意构造的数据包。由于CVSS评分达到7.5且攻击复杂度低、无需认证,漏洞实际威胁程度较高。成功利用此漏洞可导致路由器服务中断(拒绝服务),甚至可能在特定条件下实现代码执行。此漏洞影响网络设备的核心功能,攻击者可通过构造恶意请求在未授权状态下完全控制受影响设备,对网络基础设施安全构成严重威胁。建议用户尽快采取防护措施,避免设备暴露在互联网环境下。
该漏洞为经典的栈缓冲区溢出问题,位于D-Link DIR600L Ax路由器的Web管理界面处理函数中。具体来说,formSetDomainFilter函数在处理curTime参数时,未对输入数据进行充分的长度验证。当攻击者向该参数提交超长字符串时,超过了函数内部分配的缓冲区大小,导致相邻内存区域被覆盖。漏洞触发条件:攻击者构造HTTP POST请求访问formSetDomainFilter端点,在请求参数中包含超长的curTime值。路由器固件在解析参数后直接使用strcpy或类似不安全函数将数据复制到固定大小缓冲区中,引发栈溢出。由于漏洞存在于路由器启动的Web服务进程中,攻击成功将导致httpd服务崩溃或执行任意代码。攻击者可通过自动化工具批量扫描和利用此类设备,建议在网络边界处部署入侵检测系统监控异常HTTP流量。