CVE-2025-11523CVE-2025-11523是Tenda AC7路由器固件版本15.03.06.44中存在的一个命令注入漏洞。该漏洞位于路由器管理接口的/goform/AdvSetLanip路径中,攻击者可以通过操纵lanIp参数注入恶意操作系统命令,实现远程命令执行。由于该漏洞可以通过网络远程利用,且攻击复杂度较低,目前已有公开的漏洞利用代码(PoC)可供使用,对使用受影响固件版本的Tenda AC7路由器用户构成实际安全威胁。
该漏洞的CVSS 3.1评分为6.3,属于中危级别。虽然该漏洞需要低权限认证(PR:L),但攻击者无需用户交互即可发起攻击,且成功利用后可对系统的机密性、完整性和可用性均造成低程度的影响。考虑到Tenda AC7作为一款广泛使用的家用路由器,其管理接口通常暴露在局域网内,攻击者一旦获取局域网访问权限或利用其他方式绕过认证,即可利用此漏洞获取路由器的完全控制权,进一步实施内网渗透、流量劫持、DNS劫持等恶意行为。
该漏洞由[email protected]发现并报告,于2025年10月9日公开披露。漏洞利用代码已在GitHub上公开(noahze01/IoT-vulnerable仓库),增加了该漏洞被大规模利用的风险。
该漏洞的根本原因在于Tenda AC7路由器固件在处理/goform/AdvSetLanip接口的lanIp参数时,未对该参数进行充分的输入验证和过滤,直接将其传递给系统命令执行函数(如system()或exec()),导致攻击者可以通过注入特殊字符(如分号、管道符、反引号等)来执行任意操作系统命令。
具体利用方式如下:
1. 攻击者首先需要访问路由器的管理接口(通常通过HTTP协议,端口为80或8080)。
2. 通过构造包含恶意命令的lanIp参数,攻击者可以在正常的IP地址格式中嵌入shell元字符。例如,正常的lanIp参数可能为"192.168.1.1",而恶意构造的参数可能为"192.168.1.1;id"或"192.168.1.1|cat /etc/passwd"。
3. 当路由器处理该请求时,未经过滤的lanIp参数被拼接到系统命令中并执行,攻击者注入的命令得以在路由器系统中执行。
4. 由于该漏洞需要低权限认证(PR:L),攻击者需要拥有合法的登录凭证或通过其他方式获取会话。
5. 成功利用后,攻击者可以以root权限执行任意命令,完全控制路由器设备。
该漏洞属于典型的CWE-78(OS命令注入)类型,是IoT设备固件中常见的安全问题,主要源于开发过程中对用户输入安全性的忽视。