CVE-2025-14092CVE-2025-14092是Edimax BR-6478AC V3路由器1.0.15版本中存在的一个OS命令注入漏洞。该漏洞位于Web管理界面的formDebugDiagnosticRun功能中,攻击者可以通过操纵host参数实现远程命令执行。由于该漏洞需要高权限用户认证才能利用,CVSS评分被评定为4.7(中等严重程度)。漏洞存在于文件/boafrm/formDebugDiagnosticRun的sub_416898函数中,攻击者可利用此漏洞在路由器上执行任意系统命令,从而完全控制设备。该漏洞已公开披露,厂商在收到通知后未做出任何回应,目前尚无官方修复版本。
该漏洞为典型的OS命令注入问题,存在于Edimax BR-6478AC V3路由器的Web管理界面诊断功能中。具体来说,/boafrm/formDebugDiagnosticRun路径下的sub_416898函数在处理用户输入的host参数时,未对输入进行充分的过滤和验证,直接将用户可控的参数传递给系统命令执行函数。攻击者可以通过在host参数中插入分号、管道符或反引号等Shell元字符,构造恶意命令并执行。例如,使用分号分隔符可以执行多条命令,或使用反引号执行嵌套命令。由于该功能位于路由器的管理界面,攻击者需要先获取管理员权限才能访问受影响的功能。一旦成功利用,攻击者可以在路由器上执行任意系统命令,可能导致设备被完全攻陷、植入后门或用于进一步的网络攻击。