CVE-2025-13798CVE-2025-13798是一个影响ADSLR NBR1005GPEV2路由器(固件版本250814-r037c)的命令注入漏洞。该漏洞存在于/send_order.cgi文件中的ap_macfilter_add函数,由于对用户输入的mac参数缺乏有效的输入验证和过滤,攻击者可以通过构造恶意payload在受影响设备上执行任意系统命令。该漏洞具有网络远程利用特性,攻击者需要低权限认证即可发起攻击,无需用户交互。攻击成功后,攻击者可以完全控制路由器设备,执行任意操作,包括但不限于窃取网络流量、植入后门、进行中间人攻击等。由于该路由器通常部署在家庭和小型企业网络环境中作为网关设备,此漏洞可能影响大量终端用户的网络安全。厂商在收到漏洞报告后未做出任何回应,漏洞已被公开披露并可能有在野利用。
该漏洞的根本原因在于/send_order.cgi脚本中的ap_macfilter_add函数对mac参数的处理存在命令注入风险。攻击者通过HTTP请求向/send_order.cgi端点发送精心构造的mac参数值,该参数被直接拼接到系统命令中执行而未经任何安全过滤或转义处理。由于路由器运行的是嵌入式Linux系统,攻击者可以利用分号、反引号、管道符等shell特殊字符注入额外命令。例如,通过在mac参数中插入分号后跟其他系统命令,攻击者可以在路由器上执行任意系统操作。漏洞的利用条件相对较低,攻击者只需具备基本的网络访问权限和低级别认证即可成功利用。由于路由器通常缺乏完善的安全更新机制,且厂商未对此漏洞做出响应,受影响设备可能长期处于易受攻击状态。