CVE-2026-9380 CVSS 8.8 高危

CVE-2026-9380 Edimax路由器缓冲区溢出漏洞

披露日期: 2026-05-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9380

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Edimax BR-6675nD

漏洞概述

Edimax BR-6675nD 路由器固件版本 1.12 中存在安全漏洞。该漏洞位于处理 POST 请求的 `/goform/formL2TPSetup` 接口，具体涉及 `formL2TPSetup` 函数。由于对 `L2TPUserName` 参数缺乏有效的长度检查，攻击者可通过发送特制的恶意数据包触发缓冲区溢出。该攻击可远程发起，且利用代码已公开，可能导致设备被完全控制。

技术细节

该漏洞属于典型的基于栈的缓冲区溢出。受影响组件为 Edimax BR-6675nD 路由器固件中的 Web 管理接口，具体涉及处理 L2TP VPN 配置的 `/goform/formL2TPSetup` POST 接口。当应用程序处理 `L2TPUserName` 参数时，直接使用了不安全的内存拷贝函数，将用户输入的数据复制到栈上的固定长度缓冲区中。由于程序未对输入数据的长度进行边界检查，一旦传入超长字符串，缓冲区便会溢出，覆盖栈上的关键数据，如保存的基指针和返回地址。攻击者可以通过构造特定的恶意 payload 覆盖返回地址，使其指向 Shellcode 或 ROP 链。尽管 CVSS 评分显示需要低权限（PR:L），意味着攻击者通常需要通过认证（如登录 Web 界面），但一旦利用成功，即可在系统上下文中执行任意代码，导致设备被完全控制。

攻击链分析

STEP 1

侦察

识别目标为 Edimax BR-6675nD 路由器，确认其固件版本为 1.12。

STEP 2

获取权限

由于漏洞需要低权限（PR:L），攻击者通过暴力破解或弱口令获取 Web 管理界面的登录凭证。

STEP 3

漏洞利用

构造包含超长 `L2TPUserName` 参数的恶意 POST 请求，发送至 `/goform/formL2TPSetup` 端点。

STEP 4

代码执行

触发缓冲区溢出，覆盖返回地址，劫持程序控制流，在设备上执行任意 Shellcode。

STEP 5

建立控制

获取设备的 Root 权限，植入后门或修改系统配置，实现对路由器的持久控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (replace with actual IP)
target_url = "http://<TARGET_IP>/goform/formL2TPSetup"

# Malicious payload to trigger buffer overflow
# Adjust length based on specific buffer size analysis (e.g., 300+ bytes)
payload = "A" * 500

data = {
    "L2TPUserName": payload,
    # Add other required parameters for the form if necessary
}

try:
    response = requests.post(target_url, data=data)
    print(f"Status Code: {response.status_code}")
    print("Payload sent. Check device for crash or behavior change.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Edimax BR-6675nD 1.12

防御指南

临时缓解措施

建议立即将路由器管理界面隔离在内网环境中，禁止公网访问。由于厂商尚未响应，建议暂时禁用路由器上的远程管理功能及 L2TP 服务，并定期检查设备运行状态，直至官方发布修复补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表