概述
CVE ID: CVE-2026-0841 CVSS 2.0 评分: 9.0 (高危)
漏洞描述
在UTT进取520W无线路由器版本1.7.7-180627中发现一个漏洞。此问题影响文件 /goform/formPictureUrl 中的 strcpy 函数。对参数 importpictureurl 的操纵会导致缓冲区溢出。攻击可以远程发起。该漏洞利用程序现已公开并可能被使用。供应商很早就收到了关于此披露的联系,但未作出任何回应。
关键信息
- 发布日期: 2026年1月11日 上午8:15
- 最后修改日期: 2026年1月11日 上午8:15
- 可远程利用: 是
- 来源: cna@vuldb.com
受影响产品
目前尚未记录到具体的受影响产品信息。
- 受影响的供应商总数:0
- 产品总数:0
CVSS 评分
下表汇总了不同版本的CVSS评分及细节。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.0 | CVSS 2.0 | 高危 | (AV:N/AC:L/Au:S/C:C/I:C/A:C) | 8.0 | 10.0 | cna@vuldb.com |
| 8.8 | CVSS 3.1 | 高危 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | 2.8 | 5.9 | cna@vuldb.com |
| 7.4 | CVSS 4.0 | 高危 | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | - | - | cna@vuldb.com |
解决方案
通过更新受影响的产品来解决strcpy函数中的缓冲区溢出问题。
- 将UTT进取520W更新到安全版本。
- 如果可用,应用供应商补丁。
- 限制对受影响功能的访问。
- 监控网络以发现漏洞利用企图。
参考链接(公告、解决方案和工具)
| URL | 资源描述 |
|---|---|
| https://github.com/GUOTINGTING2297/cve/blob/main/1234/31.md | GitHub上的漏洞详情 |
| https://vuldb.com/?ctiid.340441 | VulDB CTI条目 |
| https://vuldb.com/?id.340441 | VulDB 条目ID |
| https://vuldb.com/?submit.729030 | VulDB 提交记录 |
CWE - 常见缺陷枚举
CVE-2026-0841 与以下CWE分类相关:
- CWE-119: 对内存缓冲区边界内的操作限制不当
- CWE-120: 缓冲区复制未检查输入大小(经典缓冲区溢出)
常见攻击模式枚举与分类 (CAPEC)
以下是攻击者可能用于利用CVE-2026-0841弱点的常见攻击模式描述:
- CAPEC-8: API调用中的缓冲区溢出
- CAPEC-9: 本地命令行工具中的缓冲区溢出
- CAPEC-10: 通过环境变量的缓冲区溢出
- CAPEC-14: 客户端注入导致的缓冲区溢出
- CAPEC-24: 过滤失败导致的缓冲区溢出
- CAPEC-42: MIME转换
- CAPEC-44: 溢出二进制资源文件
- CAPEC-45: 通过符号链接的缓冲区溢出
- CAPEC-46: 溢出变量和标签
- CAPEC-47: 通过参数扩展的缓冲区溢出
- CAPEC-100: 溢出缓冲区
- CAPEC-123: 缓冲区操作
- CAPEC-67: syslog()中的字符串格式溢出
- CAPEC-92: 强制整数溢出
漏洞历史记录
该漏洞的历史记录详情如下,有助于理解其演变过程:
| 动作 | 类型 | 旧值 | 新值 | 日期 |
|---|---|---|---|---|
| 新增 | 描述 | 在UTT进取520W 1.7.7-180627中发现一个漏洞。此问题影响文件/goform/formPictureUrl中的strcpy函数。对参数importpictureurl的操纵会导致缓冲区溢出。攻击可以远程发起。该漏洞利用程序现已公开并可能被使用。供应商很早就收到了关于此披露的联系,但未作出任何回应。 |
Jan. 11, 2026 | |
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | Jan. 11, 2026 | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | Jan. 11, 2026 | |
| 新增 | CVSS V2 | (AV:N/AC:L/Au:S/C:C/I:C/A:C) | Jan. 11, 2026 | |
| 新增 | CWE | CWE-119 | Jan. 11, 2026 | |
| 新增 | CWE | CWE-120 | Jan. 11, 2026 | |
| 新增 | 参考链接 | https://github.com/GUOTINGTING2297/cve/blob/main/1234/31.md | Jan. 11, 2026 | |
| 新增 | 参考链接 | https://vuldb.com/?ctiid.340441 | Jan. 11, 2026 | |
| 新增 | 参考链接 | https://vuldb.com/?id.340441 | Jan. 11, 2026 | |
| 新增 | 参考链接 | https://vuldb.com/?submit.729030 | Jan. 11, 2026 |
新增CVE接收方: cna@vuldb.com (Jan. 11, 2026)
漏洞评分详情
- CVSS 4.0 基础分数: 7.4
- CVSS 3.1 基础分数: 8.8
- CVSS 2.0 基础分数: 9.0