CVE-2026-5982D-Link DIR-605L 路由器固件版本 2.13B01 中存在一个高危缓冲区溢出漏洞。该漏洞源于组件 /goform/formAdvNetwork 的 POST 请求处理函数 formAdvNetwork 对传入参数 curTime 缺乏严格的边界检查。攻击者可通过发送特制的恶意数据包触发该漏洞,导致缓冲区溢出。由于该设备已停止厂商支持,用户面临极高的远程代码执行风险。
该漏洞位于 D-Link DIR-605L 路由器的 Web 管理接口处理逻辑中。具体来说,当向 /goform/formAdvNetwork 端点发送 POST 请求时,后端的 formAdvNetwork 函数负责处理用户输入。问题出在对 curTime 参数的解析过程中,程序未正确验证该参数的长度,直接将其拷贝至栈上固定大小的缓冲区。攻击者利用此缺陷,可以精心构造超长的 curTime 数据覆盖返回地址或其他关键数据。鉴于 CVSS 向量显示需要低权限(PR:L),攻击者可能需要登录或具备某种低级别访问权限,但一旦利用成功,即可在设备上执行任意代码,完全控制系统,并导致机密性泄露、完整性丧失及服务不可用。