关键信息 漏洞概述 CVE ID: CVE-2025-52357 发布日期: 2025年7月10日 发现者: Hasanka Amarasinghe (独立安全研究员) 厂商: Shenzhen C-Data Technology Co., Ltd. 受影响产品: FD602GW-DX-R410 光纤路由器 固件版本: V2.2.14 (Build:1918.241111) 硬件版本: R410B 引导加载程序版本: V5.7-25312181457 Web服务器: TliaoD.99.15 访问向量: 远程(已认证) 严重性: 中等 CVSS v3.1 基本评分: 5.4 (中等) 攻击向量: 网络(远程) 攻击复杂度: 低 所需权限: 低(已认证用户) 用户交互: 需要(对于CSRF) 作用范围: 改变 机密性影响: 中等 完整性影响: 中等 可用性影响: 低 受影响的产品 设备: FD602GW-DX-R410 光纤路由器 固件版本: V2.2.14 (Build:1918.241111) Web服务器: TliaoD.99.15 漏洞详情 类型: 反射型跨站脚本(XSS) 攻击向量: 远程(需要认证用户) 影响: - 任意JavaScript执行,具有管理员权限 - 潜在的会话劫持、凭证窃取 - 可能的权限提升和未经授权的配置更改 概念验证(PoC) 将以下有效载荷注入ping输入字段并提交: 推荐措施 实施严格的服务器端输入验证和上下文感知输出编码,以防止JavaScript注入。 防止在管理界面输入中执行任意脚本。 发布固件更新以解决输入清理问题。 建议用户在发布补丁后立即更新固件。 考虑部署内容安全策略(CSP)头以缓解XSS影响。 限制管理访问到受信任的IP范围。 教育用户避免使用默认或弱凭据。 攻击向量 需要对路由器管理界面的认证访问(例如,通过弱/默认凭据或内部访问)。 或者,如果受害者是访问恶意链接的认证管理员,则可以通过跨站请求伪造(CSRF)进行利用。 影响 通过窃取身份验证cookie进行会话劫持。 通过基于浏览器的攻击进行权限提升。 通过注入的JavaScript进行未经授权的路由器配置更改。 当与网络访问和用户交互结合时,潜在的CSRF攻击。 披露时间线 免责声明 此咨询仅用于安全意识和教育目的。