D-link DI-7001 缓冲区溢出CVE-2025-11408

D-Link DI-7001是友讯（D-Link）推出的上网行为管理路由器，面向20-40人规模的中小型企业网络，提供1个互联网端口和4个局域网端口。

一、基本情况

D-Link DI-7001是D-Link专为小型企事业设计的宽带接入路由器，它采用网络专用处理器，性能优越，能满足20-40个用户同时上网的需求。

D-Link DI-7001具备多样化的宽带接入方式及内网安全的管理，设备采用Mips 384MHz处理器，配备64MB DRAM内存与8MB FLASH内存。

栋科技漏洞库关注到 D-Link 的 DI-7001 MINI 24.04.18B1 存在一个安全漏洞，漏洞被追踪为CVE-2025-11408，漏洞CVSS 4.0评分为7.5。

二、漏洞分析

CVE-2025-11408漏洞是位于D-Link的DI-7001 MINI 24.04.18B1中的安全漏洞，安全漏洞受影响的部分是/dbsrv.asp文件的一个未知功能。

具体来说，D-Link 的相关产品 DI-7001MINI-8G 网关中发现一个严重的缓冲区溢出漏洞，攻击者可利用该漏洞发送恶意HTTP Post数据包。

对参数str的操纵会导致缓冲区溢出，漏洞导致拒绝服务攻击，甚至任意命令执行，当请求路径为/dbsrv.asp时触发，且攻击可能来自远程。

用于调用函数的API

在这里，您可以看到一些值，如src，是有值的

当src的值不为空时，调用strcpy进行复制，如果不进行边界检查，则存在缓存溢出的风险

三、概念验证

管理员已设置登录后刷新可查看

四、影响范围

D-Link的DI-7001 MINI 24.04.18B1

五、修复建议

D-Link的DI-7001 MINI >= 24.04.18B1

六、参考链接

管理员已设置登录后刷新可查看