关键信息 漏洞概述 厂商: D-Link 产品: DIR-852 1.00CNB09 漏洞类型: 命令注入 (Command Injection) 影响: 远程攻击者可以通过发送特制的网络包执行任意系统命令。 漏洞描述 在 函数中,当处理 SOAP 请求时,用户提供的输入直接拼接到命令字符串中并执行。由于缺乏适当的输入验证和过滤,导致命令注入漏洞。 关键代码片段 PoC (概念验证) 通过构造特定的 参数值,可以注入命令并执行。例如: 建议修复 输入验证和过滤: 严格验证和过滤用户输入,确保其符合预期格式。 白名单方法: 使用白名单定义有效服务,防止恶意输入。处理 内容时,检查是否与白名单中的项完全匹配,不匹配则立即拒绝请求。