CVE-2026-5042Belkin F9K1122 v1.00.33版本被发现存在一处高风险安全漏洞。该漏洞位于参数处理组件的/goform/formCrossBandSwitch接口,由于程序未对webpage参数进行严格的边界检查,导致基于栈的缓冲区溢出。攻击者可利用该漏洞进行远程攻击,无需用户交互即可获取系统控制权。鉴于厂商尚未回应且漏洞细节已公开,用户需尽快采取防护措施。
该漏洞的根源在于Belkin F9K1122路由器固件中Parameter Handler组件的代码实现存在严重的内存安全缺陷。具体受影响的是文件/goform/formCrossBandSwitch中的formCrossBandSwitch函数。该函数在处理用户提交的'webpage'参数时,使用了不安全的内存拷贝操作(例如类似strcpy的函数),未对输入数据的长度进行有效校验。攻击者可以通过网络向受影响设备发送特制的HTTP POST请求,向'webpage'字段填充超长数据。当数据长度超过栈缓冲区大小时,会触发栈溢出,覆盖相邻的局部变量、栈帧指针及返回地址。由于该漏洞攻击复杂度低(AC:L)、权限要求低(PR:L)且无需用户交互(UI:N),攻击者可以精心构造Payload覆盖返回地址,劫持程序执行流,从而在目标设备上实现远程代码执行(RCE)或导致设备崩溃(DoS)。鉴于漏洞利用代码已公开,其潜在危害极大。