CVE-2025-14659: D-Link DIR-860LB1 中的命令注入漏洞

严重性：高 类型：漏洞 CVE编号： CVE-2025-14659

在D-Link DIR-860LB1和DIR-868LB1路由器（固件版本203b01/203b03）中发现了一个漏洞。受影响的是DHCP守护进程组件中的一个未知功能。对参数"主机名"的操纵导致了命令注入。攻击可以远程发起。漏洞利用代码现已公开，并可能被使用。

AI分析技术摘要

CVE-2025-14659 是在运行固件版本203b01和203b03的D-Link DIR-860LB1和DIR-868LB1路由器的DHCP守护进程组件中发现的一个命令注入漏洞。该漏洞源于DHCP请求中的"主机名"参数过滤不当，允许攻击者注入任意Shell命令。此漏洞可以在无需任何身份验证或用户交互的情况下被远程利用，使得攻击者极易访问。

其CVSS 4.0向量（AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P）表明，攻击可以通过网络发起，复杂度低且无需用户参与，但需要设备上的低权限。成功利用可能导致路由器被完全攻陷，使攻击者能够执行任意命令，可能获得设备控制权、拦截或重定向网络流量，或在网络内发起进一步攻击。该漏洞影响特定的固件版本，目前尚未关联官方补丁，但漏洞利用代码已公开可用，增加了缓解措施的紧迫性。对于依赖这些路由器进行网络边界或内部分段的网络环境而言，此漏洞至关重要。

潜在影响

对欧洲组织而言，利用CVE-2025-14659可能导致严重的网络安全漏洞。被攻陷的路由器可能允许攻击者拦截敏感通信、操纵DNS或路由配置，并渗透到内部网络，威胁数据的机密性和完整性。如果攻击者破坏DHCP服务或使设备过载，可用性也可能受到影响。在家庭办公室、小型企业或分支机构中使用这些D-Link型号的组织风险尤其高。在拥有关键基础设施或敏感数据的行业（如金融、医疗保健和政府），暴露风险加剧。漏洞利用代码的公开可用性增加了机会主义攻击的可能性，包括针对欧洲网络的网络犯罪分子和国家支持的行为者。该漏洞还可能被用于僵尸网络活动或勒索软件攻击，从而放大其影响。

缓解建议

立即缓解措施包括：将受影响的设备与不可信网络隔离，并仅将DHCP流量限制为受信任的来源。应实施网络分段以限制受感染路由器的攻击范围。组织应监控网络流量中是否存在异常的DHCP请求或命令注入迹象。由于目前尚未关联官方补丁，联系D-Link支持以获取固件更新或公告至关重要。如果固件更新可用，必须立即应用。作为临时措施，在易受攻击的设备上禁用DHCP服务器功能并使用替代的DHCP服务器可以降低风险。实施网络访问控制和入侵检测系统，调整设置以检测DHCP异常，可以提供额外的防御。定期盘点和审计网络设备以识别易受攻击的型号和固件版本，将有助于确定补救工作的优先级。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰

来源： CVE Database V5 发布日期： 2025年12月14日，星期日