关键信息 漏洞概述 CVE编号: CVE-2025-60344 漏洞类型: 路径遍历(目录遍历)漏洞 受影响设备: D-Link DSR Router 漏洞详情 描述: 任意用户可以通过操纵输入来指定文件或目录路径,导致系统返回目标目录之外的文件,包括敏感的系统/配置文件。 原因: 输入验证不足。 风险与影响 风险: 未认证用户可访问任意本地文件,如 和 ,以及明文存储的路由器配置文件 。 影响: 泄露设备管理接口、VPN门户和ISP门户的登录凭证。 利用方式 端点: 方法: HTTP POST请求,通过 参数传递相对路径。 示例请求: 影响版本 易受攻击的固件版本: 1.09B32_WW 测试设备: DSR-150 和 DSR-250N 路由器系列 免责声明 用途: 仅供教育和研究使用,未经授权运行此PoC是非法和不道德的。