关键信息 漏洞标题 Privilege Control Defect in Blink Router Web Interface Permits Arbitrary Sensitive Operation Execution 作者 BUG_Author: waiwai 厂商 Vendor: Blink 受影响产品 BL-AX5400P V1.0.19 BL-AX1800 V1.0.19 BL-AC3600 V1.0.22 BL-WR9000 V2.4.9 BL-AC1900 V1.0.2 BL-AC2100_AZ3 V1.0.4 漏洞文件 libblinkapi.so 描述 Blink路由器的Web管理界面存在严重的未验证身份权限问题,允许执行敏感操作。攻击者可以通过简单的HTTP请求执行敏感操作,如重启和恢复出厂设置,导致网络服务中断和配置数据丢失。 漏洞API端点 POST /cgi-bin/lighttpd.cgi - {"type":"reboot"} (系统重启) POST /cgi-bin/lighttpd.cgi - {"type":"restore"} (恢复出厂设置) 影响 立即后果 网络服务中断: 系统重启导致完全网络连接丢失 配置数据丢失: 恢复出厂设置删除所有个性化设置 凭证丢失: WiFi密码、端口转发配置永久删除 访问控制妥协: 管理员凭证恢复到出厂默认值 次要影响 运营中断: 网络依赖的业务操作经历停机时间 安全暴露: 恢复后默认设置可能引入安全弱点 恢复开销: 需要完全网络重新配置