概述

CVE-2021-4464是一个影响FiberHome路由器的严重安全漏洞，CVSS 4.0评分为9.3分，属于关键级别漏洞。

漏洞描述

FiberHome AN5506-04-FA固件版本至RP2631（含）和HG6245D固件版本早于RP2602的设备存在栈基缓冲区溢出漏洞。HTTP服务（‘webs’）未能对Cookie头值的最大长度进行限制。当处理超过511字节的Cookie时，会导致栈缓冲区溢出，可能造成设备崩溃或执行流程被控制。

技术细节

受影响产品

• FiberHome AN5506-04-FA（固件版本至RP2631）
• FiberHome HG6245D（固件版本早于RP2602）

漏洞特性

• 远程利用：是
• 漏洞类型：栈基缓冲区溢出（CWE-121）
• 攻击向量：通过网络发送特制的超长Cookie头

解决方案

修复措施

• 更新受影响设备的固件
• 立即应用供应商提供的补丁
• 为HG6245D应用固件更新RP2602
• 为AN5506-04-FA应用固件更新RP2631

参考资源

• Pierre Kim安全公告
• Pierre Kim博客分析
• VulnCheck咨询报告

漏洞时间线

• 发布日期：2025年11月12日
• 最后修改：2025年11月12日
• 来源：disclosure@vulncheck.com

CVSS评分详情

CVSS 4.0评分

• 基础分数：9.3（关键）
• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无

该漏洞由于无需认证即可远程利用，且可能完全危害设备的机密性、完整性和可用性，因此被评定为关键级别漏洞。