CVE-2026-36960: Web管理界面跨站请求伪造 (CSRF) 漏洞 漏洞概述 漏洞ID: CVE-2026-36960 CVSS评分: 8.8 (High) 描述: U-SPEED路由器固件 V1.0.0 的管理API端点未实施CSRF保护机制(如anti-CSRF令牌或严格的Origin/Referer验证)。攻击者可构造恶意网页,诱导已认证的管理员访问,从而发送伪造的HTTP请求执行管理操作。 影响范围 受影响产品: U-SPEED Router Firmware V1.0.0 受影响端点: (无线网络配置) (Telnet服务配置) 其他配置端点 (各种管理功能) 潜在影响: 未经授权修改路由器配置 WiFi网络接管 Telnet服务操纵 合法用户拒绝服务 修复方案 在所有状态变更端点实施anti-CSRF令牌。 强制执行严格的Origin和Referer头验证。 使用 cookie属性。 概念验证代码 (POC)