CVE-2025-29635 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程命令注入（RCE） 📉 **后果**：攻击者可完全控制路由器，接管内网流量，窃取数据或发起更大规模攻击。

🛡️ **缺陷点**：未对输入进行严格过滤 🔍 **触发点**：`/goform/set_prohibiting` 接口接收 POST 请求时，直接执行了恶意构造的命令。

📦 **受影响设备**：D-Link DIR-823X 无线路由器 📅 **高危版本**：固件版本 **240126** 和 **240802**。

💻 **黑客权限**：拥有 **Root/管理员** 级别权限 📂 **数据风险**：可读取配置、监控网络流量、植入后门、利用路由器作为跳板攻击内网其他设备。

🔓 **利用门槛**：中等 ✅ **认证要求**：需为 **授权攻击者**（通常意味着需要知道管理员密码或已处于内网环境）。 ⚡ **操作方式**：发送特定的 POST 请求即可触发。

📜 **PoC 情况**：已有公开利用代码 🔗 **来源**：GitHub 仓库 `mono7s/Dir-823x` 中提供了详细的利用说明和脚本。 🌍 **在野利用**：目前暂无大规模在野利用报告，但风险正在累积。

🔍 **自查方法**： 1. 检查路由器固件版本是否为 240126 或 240802。 2. 尝试向 `/goform/set_prohibiting` 发送包含恶意命令的 POST 请求（仅限授权测试）。 3. 使用支持该 CVE 的漏洞扫描器进行资产探测。

🛠️ **官方修复**：数据中未提及官方已发布补丁。 ⚠️ **建议**：立即联系 D-Link 官方支持，询问是否有最新固件更新以修复此漏洞。

🚧 **临时规避**： 1. **修改默认密码**：确保管理员账户使用强密码，防止未授权访问。 2. **网络隔离**：将路由器置于隔离 VLAN，限制其对外网和内网的访问权限。 3. **关闭远程管理**：禁用 Web 管理界面的远程访问功能。

🔥 **优先级**：高 ⚡ **建议**：鉴于 PoC 已公开且后果严重（RCE），建议 **立即** 升级固件或采取临时缓解措施。不要忽视授权攻击者的潜在威胁。