关键漏洞信息 漏洞概述 CVE ID: CVE-2025-5581 厂商: D-Link Systems Inc. 产品: D-Link DCS-825L Wi-Fi Baby Camera (v1.00.A01 and possibly prior) 固件SHA-256: 3f274e9c4b5d5a55555555555555555555555555555555555555555555555555 影响: 持久性Root级别代码执行 严重性: 高 状态: 公开 漏洞详情 易受攻击的脚本: 监控的二进制文件: 和 问题: 在执行前没有进行完整性检查、签名验证或权限验证。 攻击类型: 本地/固件修改 CWE ID: - CWE-286: 缺失对关键功能的身份验证 - CWE-200: 不当隐私管理 - CWE-840: 业务逻辑错误 攻击向量 攻击者需要: - 本地访问(物理USB连接)或 - 固件修改能力(例如,逆向更新过程) 利用方式: - 将恶意payload注入 或 - 获得持久的root级控制权,即使在重启后也能存活。 影响 持久性妥协: 设备在工厂重置或电源循环后仍被攻陷。 僵尸网络风险: 易受攻击的设备可能被吸收进僵尸网络。 隐私泄露: 摄像头可能被秘密用于监视。 厂商响应 2025年6月20日: 漏洞报告给D-Link PSIRT。 2025年6月23日: 厂商确认问题并确认设备已进入生命末期(EOL),将不再发布补丁。 2025年6月24日: 公布安全公告SA#20421。 推荐措施 对于用户: - 立即断开或更换不受支持的DCS-825L设备。 - 避免在生产或敏感环境中使用EOL D-Link设备。 对于厂商: - 对关键二进制文件实施完整性和签名检查。 - 实施基于硬件和代码签名机制的安全启动。