CVE-2025-14706CVE-2025-14706是影响Shiguangwu sgwbox N3设备2.0.25版本的一个严重命令注入漏洞。该漏洞位于/usr/sbin/http_eshell_server组件的NETREBOOT接口中,攻击者可以通过构造恶意请求在受影响设备上执行任意系统命令。由于该漏洞的CVSS评分高达9.8(满分10分),属于极其严重的网络安全威胁。攻击者无需任何认证凭证或用户交互,即可远程利用此漏洞完全控制目标设备,获取系统的最高权限。此漏洞已被公开披露,相关的利用代码已在互联网传播,任何暴露在网络中的受影响设备都可能成为攻击目标。厂商在收到安全通知后未作出任何回应,导致该漏洞长期处于未修复状态。成功利用此漏洞可导致攻击者窃取敏感数据、植入后门、组建僵尸网络或对内网其他系统发起进一步攻击。
该命令注入漏洞源于Shiguangwu sgwbox N3设备的NETREBOOT接口对用户输入缺乏有效的安全过滤。攻击者可以通过向http_eshell_server组件发送特制的HTTP请求,在请求参数中注入操作系统命令。漏洞主要影响/usr/sbin/http_eshell_server文件,该组件负责处理设备的网络重启功能。由于程序直接使用用户可控的输入构造系统命令而未进行适当的输入验证或参数转义,攻击者可以通过在参数中插入分号、管道符或反引号等特殊字符来终止原命令并注入恶意命令。攻击者可以利用此漏洞执行任意系统命令,包括但不限于启动shell、读取敏感配置文件、修改系统设置或下载并执行恶意软件。由于该服务以高权限运行,攻击成功后可获得root级别的完全控制权。