CVE-2026-36956: Web管理界面跨站请求伪造 (CSRF) 漏洞 漏洞概述 漏洞ID: CVE-2026-36956 CVSS评分: 8.8 (High) 受影响产品: Shenzhen Dibit Network Equipment Co., Ltd. (迪比特网络) Dbit Router 固件 受影响版本: V1.0.0 漏洞描述: 固件V1.0.0未实施CSRF保护机制(如anti-CSRF令牌或严格的Origin/Referer验证)。攻击者可构造恶意网页,诱导已认证的管理员访问,从而发送伪造的HTTP请求修改路由器配置。 影响范围 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 需要 影响: 机密性: 高 完整性: 高 可用性: 高 受影响端点: : 无线网络配置 (SSID, 密码) : WAN配置 : 系统配置 具体危害: 未经授权修改WiFi SSID和密码 WAN/DNS配置更改 合法用户拒绝服务 路由器配置完全接管 修复方案 在所有状态变更端点上实施anti-CSRF令牌。 强制执行严格的Origin和Referer头验证。 对会话Cookie使用 属性。 概念验证代码 (POC)