CVE-2025-14586TOTOLINK X5000R 9.1.0cu.2089_B20211224版本中存在严重的操作系统命令注入漏洞。该漏洞位于Web管理界面的CGI处理程序中,具体为/cgi-bin/cstecgi.cgi?action=exportOvpn&type=user接口。攻击者可以通过构造恶意的User参数值,在服务器端执行任意操作系统命令。由于该漏洞可通过远程网络直接利用,且不需要高权限认证即可触发,对使用该设备的用户构成严重安全威胁。攻击者成功利用此漏洞可获取设备完全控制权,执行任意代码、窃取敏感数据或将其作为僵尸网络的一部分。
漏洞存在于TOTOLINK X5000R路由器的Web管理功能中。攻击者利用cgi-bin/cstecgi.cgi接口的exportOvpn功能,通过User参数注入恶意OS命令。该参数未经充分过滤直接传递给snprintf函数,最终导致命令注入。攻击者可在User参数中插入分号、反引号或管道符等shell特殊字符来执行额外命令。例如使用;whoami或$(whoami)等payload可验证漏洞存在性。由于该接口通常对低权限用户开放,攻击门槛较低。攻击者可通过此漏洞获取root权限,完全控制路由器设备。