2026-03-10 02:03:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文披露Wavlink打印服务器CVE-2026-3703严重漏洞，CVSS评分9.8。攻击者利用login.cgi的栈缓冲区溢出可无认证远程执行代码控制设备，进而威胁内网安全。文章指出厂商存在不安全编码问题，已公开PoC。建议用户立即升级官方固件，若无法升级需封锁外网访问端口、修改默认密码、进行网络隔离并部署检测规则。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,IoT安全,内网渗透

cover_image

严重预警｜你家的打印机共享器可能正在被人”借道”入侵内网

原创

CVE-SEC CVE-SEC

CVE-SEC

2026年3月9日 13:00 四川

严重预警｜你家的打印机共享器可能正在被人”借道”入侵内网

CVE-2026-3703 | CVSS 9.8 | 无需认证 | 已有公开 PoC

一个被人忽视的小白盒子

办公室的角落或者家里书桌旁，经常有一个巴掌大的白色小盒子，接着打印机的 USB 线，让局域网里的每台电脑都能共享打印。它平时几乎无人问津，连路由器的关注都比它多。

这个小盒子叫 Wavlink WL-NU516U1，是一款 USB 无线打印服务器，面向家庭和小型办公场景（SOHO）销售，全球出货量可观。它搭载联发科 MT7628 芯片，跑着 MIPS 架构的嵌入式 Linux，内置一套基于 CGI 程序的 Web 管理界面。

2026 年 3 月 8 日，编号 CVE-2026-3703 的漏洞正式披露。CVSS v3.1 评分 9.8，满分 10 分。

漏洞在哪里，怎么触发

漏洞藏在设备登录程序 /cgi-bin/login.cgi 的 sub_401A10 函数里。

这个函数负责处理 Web 管理界面的登录请求。它会读取用户通过 HTTP POST 提交的 ipaddr 参数，然后用 C 语言的 sprintf 函数把这个值拼进一条系统命令，再写进一个栈上预分配的固定缓冲区。

问题就出在这里。这块缓冲区只有 128 字节，固定前缀已经占去约 22 字节，留给 ipaddr 的安全空间大约是 105 字节。但代码里没有任何长度检查，sprintf 也不会自动截断。

攻击者只需要发一条 HTTP 请求，把 ipaddr 的值填成一段超过 105 字节的字符串，多出来的数据就会越过缓冲区边界，覆盖相邻的栈内存，包括函数返回地址。

POST /cgi-bin/login.cgi HTTP/1.1
Host: <目标IP>
Content-Type: application/x-www-form-urlencoded

password=21232f297a57a5a743894a0e4a801fc3&ipaddr=AAAAAA...（超过105字节）

密码字段填默认密码 admin 的 MD5 哈希即可，这是公开信息。

结果分两种：

直接后果：CGI 进程崩溃，服务返回 HTTP 500，设备需重启才能恢复，即拒绝服务（DoS）。
进一步后果：攻击者精心构造溢出数据，劫持程序控制流，以 root 权限在设备上执行任意代码，完全控制设备。

整个过程无需任何身份认证，无需用户交互，只要能访问设备的 80 端口就够了。

这个漏洞有多”省力”

CVSS 向量是：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

逐项翻译：

AV:N，网络可达即可发起攻击
AC:L，攻击复杂度低，无需特殊条件
PR:N，无需任何权限
UI:N，无需用户交互
C/I/A 均为 H，机密性、完整性、可用性全部高危

公开 PoC 已发布在 GitHub。这意味着不需要任何逆向分析能力，拿来就能用。

不只是这一个漏洞

CVE-2026-3703 并非孤立事件。同一研究人员在同一设备系列中同期披露了多个漏洞：

| CVE 编号 | 类型 | 受影响组件 | CVSS v3.1 | | — | — | — | — | | CVE-2026-3703 | 越界写入 | login.cgi | 9.8 | | CVE-2026-3613 | 栈缓冲区溢出 | login.cgi（早期固件版本） | 7.2 | | CVE-2026-3704 | 命令注入 | firewall.cgi | 4.7 |

CVE-2026-3704 还有一个值得注意的背景：它被标注为 CVE-2025-10959 的不完整修复，说明厂商此前的补丁没有彻底解决问题，历史修复存在遗漏。

这三个漏洞可以组成一条攻击链：先用 CVE-2026-3703 的 9.8 分漏洞无认证打入设备，再借助 CVE-2026-3704 的命令注入建立持久化控制。被攻陷的打印服务器，之后就成了攻击者进入内网的跳板。

被忽视的风险：它就在内网里

很多人看到”打印服务器”四个字会觉得这不是什么要紧设备。但关键恰恰在这里。

这台设备就在内网里，和你的电脑、NAS、网络摄像头、甚至公司内网服务器处于同一局域网。攻击者一旦控制它，拿到的不是一个孤立的壳，而是一个内网立足点。从这里可以扫描内网、嗅探流量、对其他主机发起横向移动。

该设备默认管理密码是 admin，Wi-Fi 接入密码是 netusb12345，这两个值早已是公开信息。大多数用户从不修改默认凭据。

此外，该类嵌入式 Linux 设备历来是 Mirai 等 IoT 僵尸网络的猎场，批量感染、大规模 DDoS 利用的先例不少。

时间线

| 日期 | 事件 | | — | — | | 2026-03-07 | 研究人员 haimianbaobao 提交至 VulDB 协调平台，厂商确认漏洞 | | 2026-03-08 | CVE-2026-3703 正式分配，PoC 同步公开于 GitHub | | 2026-03-08 | INCIBE-CERT、THREATINT、BitNinja 等平台发布告警 | | 2026-03-08 | 厂商修复固件（2026-02-27 构建）确认可用 |

从发现到 PoC 公开，不到两天。

如果你的网络里有这台设备，现在该做什么

第一步，也是最重要的一步：升级固件。

Wavlink 已发布修复版本，固件下载地址：

https://www.wavlink.com/en_us/firmware/details/115.html

升级方式：登录设备管理界面，进入固件升级页面，上传最新固件文件，等待重启完成。

如果暂时无法升级，按以下顺序采取临时措施：

在上级路由器或防火墙上，封锁对该设备 80 端口的外网访问，确保管理界面只有内网可达
修改默认管理员密码，不要留着 admin
将打印服务器划入独立 VLAN，与核心网络隔离
部署 IDS/IPS 检测规则，识别针对 /cgi-bin/login.cgi 的超长 ipaddr 参数请求

检测规则参考（Snort/Suricata）：

alert http any any -> $HOME_NET any (
&nbsp; &nbsp; msg:"CVE-2026-3703 Wavlink login.cgi ipaddr OOB Write";
&nbsp; &nbsp; flow:established,to_server;
&nbsp; &nbsp; http.method; content:"POST";
&nbsp; &nbsp; http.uri; content:"/cgi-bin/login.cgi";
&nbsp; &nbsp; http.request_body; content:"ipaddr=";
&nbsp; &nbsp; pcre:"/ipaddr=[^\&]{106,}/";
&nbsp; &nbsp; classtype:attempted-admin;
&nbsp; &nbsp; sid:20263703; rev:1;
)

漏洞背后的老问题

CVE-2026-3703 的根本原因是一行代码：

// 存在漏洞的写法
sprintf(v15,&nbsp;"web 2860 sys addUser \"%s\"", ipaddr);

// 正确的写法
snprintf(v15,&nbsp;sizeof(v15),&nbsp;"web 2860 sys addUser \"%s\"", ipaddr);

把 sprintf 换成 snprintf，指定最大写入长度，这个漏洞就不存在了。或者在调用之前检查一下 ipaddr 的长度是否超过 15 字节（一个合法 IPv4 地址的最大长度），同样能防住。

这不是什么新发现的攻击手法，栈缓冲区溢出是几十年前就被充分研究的经典漏洞类型。但它在 2026 年仍然出现在一款在售的网络设备固件里，说明消费级和 SOHO 级 IoT 设备的安全编码实践，依然存在系统性缺口。

CGI 程序对用户输入不做边界校验，固件编译时不启用栈保护和 ASLR，默认凭据写死在设备里且从不提示修改——这套组合拳，在这一类产品上并不罕见。

那些平时静静待在角落里的小盒子，值得被认真对待一次。

参考来源

NVD：https://nvd.nist.gov/vuln/detail/CVE-2026-3703
VulDB#349649：https://vuldb.com/?id.349649
CIRCL：https://vulnerability.circl.lu/vuln/cve-2026-3703
公开 PoC：https://github.com/Wlz1112/Wavlink-NU516U1-V251208-/blob/main/ipaddr.md
官方固件下载：https://www.wavlink.com/en_us/firmware/details/115.html

本文基于公开披露信息整理，所有技术细节均来自公开来源，仅供防御参考。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CVE-SEC CVE-SEC CVE-SEC《严重预警｜你家的打印机共享器可能正在被人”借道”入侵内网》