D-Link DIR-860L OS命令注入CVE-2025-9026

D-Link DIR-860L 是 802.11ac 双频无线路由器，支持双频段（2.4GHz和5GHz）同步传输，最高传输速率1200Mbps（300+867Mbps）。

一、基本情况

中国友讯公司生产的 D-Link DIR-860L 路由器配备4个Gigabit以太网端口，支持高速有线连接，配备1个USB 3.0接口和4个千兆有线端口。

D-Link DIR-860L 的双频技术2.4GHz频段支持300Mbps无线传输，5GHz频段支持867Mbps无线传输，有效减少干扰并提升网络稳定性。

栋科技漏洞库关注到D-Link DIR-860L固件的SSDP（简单服务发现协议）服务中存在漏洞，追踪为CVE-2025-9026，CVSS 4.0评分为6.9。

二、漏洞分析

CVE-2025-9026漏洞是D-Link DIR-860L固件的SSDP（简单服务发现协议）服务中存在严重的命令注入漏洞，攻击者可能远程发起攻击。

该漏洞位于D-Link DIR-860L版本B 2.04.B04，影响Simple Service Discovery Protocol组件中的文件htdocs/cgibin中的ssdpcgi_main函数。

具体而言，这是一个在D-Link DIR-860L路由器设备中存在的简单服务发现协议CGIBIN SSDPCGI_MAIN OS命令注入漏洞。

此漏洞允许未经身份验证的攻击者通过发送特制的网络数据包远程执行任意系统命令，但要明确的是漏洞仅影响制造商不再支持的产品。

建议通过如下方式修复

输入验证和筛选：严格验证和过滤用户输入数据，以确保其符合预期格式。

白名单方法：与其他路由器固件（如DIR-869）中的SSDP处理类似，应使用白名单来定义预期的服务，防止恶意用户输入。

1、命令注入

在htodcs/cgibin二进制文件的ssdpcgi_main函数中，程序处理来自网络的SSDP M-SEARCH请求。

在此过程中，它直接从HTTP标头中获取ST（搜索目标）字段的值。

关键问题是，此用户提供的ST字段值直接作为参数传递给lxmldbc_system函数，而无需任何过滤或验证。

2、通过注入有效载荷，如ST:urn:device:1；telnetd，攻击者可以成功地将新命令（telnetd）附加到原始命令中，并以设备最高权限执行。

三、POC概念验证

管理员已设置登录后刷新可查看

四、影响范围

DIR-860L_REVB_FIRMWARE_2.04.B04_ic5b_HOTFIX.zip

五、修复建议

未知

六、参考链接

管理员已设置登录后刷新可查看