kirubel-cve/CVE-2026-36959

# CVE-2026-36959：登录端点缺少速率限制 **CVE ID：** CVE-2026-36959 **日期：** 2026-04-29 **发现者：** Kirubel Solomne **供应商：** U-SPEED **产品：** U-SPEED 路由器 **固件版本：** V1.0.0 **CWE：** CWE-307 - 过度身份验证尝试的不当限制 ## 描述 U-SPEED 路由器固件 V1.0.0 未在 `/api/login` 端点上实现速率限制或账户锁定保护。这使得局域网内的攻击者能够进行无限次的身份验证尝试，从而对管理员账户发起暴力破解攻击，并可能导致对路由器管理界面的未经授权访问。 ## CVSS 评分 **CVSS v3.1 评分：7.5（高）** `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N` | 指标 | 值 | |---|---| | 攻击途径 | 网络 | | 攻击复杂度 | 低 | | 权限要求 | 无 | | 用户交互 | 无 | | 机密性影响 | 高 | | 完整性影响 | 无 | | 可用性影响 | 无 | ## 概念验证 ``` POST /api/login HTTP/1.1 Host: [Router_IP] Content-Type: application/json {"username": "admin", "password": "password_guess"} ``` 在多次失败的尝试后，未触发任何限速或锁定机制。 ## 影响 - 未经授权的管理员访问 - 全面接管路由器配置 - 网络入侵 ## 修复建议 - 在 `/api/login` 端点上实现速率限制 - 在多次失败的尝试后增加账户锁定机制 - 实现指数退避或 CAPTCHA ## 披露时间线 | 日期 | 事件 | |---|---| | 2026-04-29 | 发现漏洞 | | 2026-04-29 | 报告给 MITRE | | 2026-04-29 | 分配 CVE-2026-36959 | | 2026-04-29 | 公开披露 | ## 参考 - [MITRE CVE-2026-36959](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-36959) - [CWE-307](https://cwe.mitre.org/data/definitions/307.html) - [供应商网站](http://u-speed.com)

标签：CVE-2026-36959, CVSS 7.5, CWE-307, Homebrew安装, PoC, PoC, U-SPEED, 凭据爆破, 固件漏洞, 暴力破解, 暴力破解, 未授权访问, 本地网络攻击, 漏洞披露, 登录接口无限制, 系统遥测, 网络安全, 网络设备安全, 路由器漏洞, 身份验证缺陷, 速率限制缺失, 防御加固, 隐私保护