关键信息 1. 基本信息 供应商: D-Link 产品: DI-7100G 固件版本: c1 漏洞类型: 命令注入 CVE编号: CVE-2025-57636 升级时间: 2020/02/21 2. 漏洞描述 问题位置: jhttptd函数中的sub_474028函数存在命令注入漏洞。 具体代码: 在第13行, 后跟 。这里的 值来自 ,即通过HTTP参数"time"控制。 攻击方式: 攻击者可以通过注入恶意命令(如 )到 参数中,导致 函数执行拼接后的字符串,从而实现任意命令执行。 3. POC (概念验证) 请求示例: 效果: 上述PoC可以启用设备的Telnet服务。 4. 报告人 报告人: jfkk (jfkk2331997024@gmail.com)