概述
CVE-2025-60554是D-Link DIR600L Ax路由器中发现的一个缓冲区溢出漏洞。
漏洞描述
D-Link DIR600L Ax FW116WWb01版本中的formSetEnableWizard函数存在缓冲区溢出漏洞,攻击者可通过curTime参数利用此漏洞。
漏洞时间线
- 发布日期:2025年10月24日 16:20
- 最后修改:2025年10月24日 19:15
- 远程利用:是
- 来源:cve@mitre.org
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品总数:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将设备固件更新到最新版本以修复缓冲区溢出漏洞
- 更新后验证固件版本
- 如有供应商提供的补丁,请应用
参考链接
CWE常见弱点枚举
CVE-2025-60554与以下CWE相关联:
CWE-120:缓冲区复制未检查输入大小(经典缓冲区溢出)
常见攻击模式枚举和分类(CAPEC)
与CVE-2025-60554弱点相关的攻击模式:
- CAPEC-8:API调用中的缓冲区溢出
- CAPEC-9:本地命令行工具中的缓冲区溢出
- CAPEC-10:通过环境变量的缓冲区溢出
- CAPEC-14:客户端注入导致的缓冲区溢出
- CAPEC-24:缓冲区溢出导致的过滤器故障
- CAPEC-42:MIME转换
- CAPEC-44:二进制资源文件溢出
- CAPEC-45:通过符号链接的缓冲区溢出
- CAPEC-46:变量和标签溢出
- CAPEC-47:通过参数扩展的缓冲区溢出
- CAPEC-67:syslog()中的字符串格式溢出
- CAPEC-92:强制整数溢出
- CAPEC-100:缓冲区溢出
漏洞历史记录
CVE修改 by 134c704f-9b21-4f2e-91b3-4a467353bcc0 - 2025年10月24日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-120 |
新CVE接收 by cve@mitre.org - 2025年10月24日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | D-Link DIR600L Ax FW116WWb01 was discovered to contain a buffer overflow via the curTime parameter in the function formSetEnableWizard. | |
| 添加 | 参考 | https://github.com/luckysmallbird/DLINK-DIR600LAx-Vulnerability/blob/main/08-buffer%20overflow-formSetEnableWizard.md |
漏洞评分详情
CVSS 3.1基础评分:9.8
攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:无 范围:已更改 机密性影响:高 完整性影响:高 可用性影响:高