CVE-2025-29269CVE-2025-29269是一个严重的安全漏洞,影响ALLNET公司生产的ALL-RUT22GW工业LTE蜂窝路由器固件版本3.3.8。该漏洞允许未经认证的远程攻击者通过Web界面的popen.cgi端点注入并执行任意操作系统命令。由于该路由器通常部署在工业环境中,用于关键基础设施的通信和数据传输,此漏洞的存在可能导致严重的生产中断、数据泄露甚至物理设备损害。攻击者无需任何认证凭据即可利用此漏洞,这意味着任何能够访问路由器Web管理界面的攻击者都可以完全控制受影响的设备。CVSS评分9.8(严重)表明该漏洞具有极高的威胁性,必须立即采取修复措施。
该漏洞存在于ALL-RUT22GW路由器的Web管理界面中的popen.cgi端点。攻击者可以通过HTTP请求向该端点的command参数注入恶意操作系统命令。由于应用程序未对用户输入进行充分的输入验证和过滤,注入的命令字符串将被传递给popen()函数执行。popen()函数会创建一个新的进程并执行shell命令,这使得攻击者可以执行任意系统命令,包括但不限于:读取敏感配置文件、修改系统设置、建立后门连接、下载和执行恶意软件等。由于该端点不需要任何认证,攻击者可以直接构造恶意请求利用此漏洞。典型的攻击payload可能包括使用分号、管道符或反引号等shell元字符来链接多个命令。