CVE-2025-60548 - D-Link DIR600L Ax缓冲区溢出漏洞
概述
D-Link DIR600L Ax FW116WWb01固件被发现存在缓冲区溢出漏洞,该漏洞位于formLanSetupRouterSettings函数的curTime参数中。
漏洞详情
漏洞描述:D-Link DIR600L Ax FW116WWb01固件在formLanSetupRouterSettings函数中,由于curTime参数未进行适当的边界检查,导致存在缓冲区溢出漏洞。
发布时间:2025年10月24日 16:17
最后修改:2025年10月24日 18:15
远程利用:是
漏洞来源:cve@mitre.org
受影响产品
目前尚未记录具体的受影响产品信息:
- 受影响厂商总数:0
- 受影响产品数:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | - | 3.9 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新固件以修复缓冲区溢出漏洞
- 应用厂商提供的补丁
相关参考
URL资源:
CWE分类
CWE-120:未检查输入大小的缓冲区复制(经典缓冲区溢出)
CAPEC攻击模式
该漏洞关联以下攻击模式:
- CAPEC-8:API调用中的缓冲区溢出
- CAPEC-9:本地命令行工具中的缓冲区溢出
- CAPEC-10:通过环境变量的缓冲区溢出
- CAPEC-14:客户端注入导致的缓冲区溢出
- CAPEC-24:缓冲区溢出导致的过滤器失效
- CAPEC-42:MIME转换
- CAPEC-44:二进制资源文件溢出
- CAPEC-45:通过符号链接的缓冲区溢出
- CAPEC-46:变量和标签溢出
- CAPEC-47:通过参数扩展的缓冲区溢出
- CAPEC-67:syslog()中的字符串格式溢出
- CAPEC-92:强制整数溢出
- CAPEC-100:缓冲区溢出
漏洞历史记录
2025年10月24日 - CVE由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 添加 | CWE | - | CWE-120 |
2025年10月24日 - 新CVE由cve@mitre.org接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | D-Link DIR600L Ax FW116WWb01 was discovered to contain a buffer overflow via the curTime parameter in the function formLanSetupRouterSettings. |
| 添加 | 参考 | - | https://github.com/luckysmallbird/DLINK-DIR600LAx-Vulnerability/blob/main/01-buffer%20overflow-formLanSetupRouterSettings.md |
漏洞评分详情
CVSS 3.1基础评分:9.8
攻击向量:网络
攻击复杂度:低
所需权限:无
用户交互:无
范围:改变
机密性影响:高
完整性影响:高
可用性影响:高