CVE-2025-55901CVE-2025-55901是影响TOTOLINK A3300R V17.0.0cu.596_B20250515版本路由器的高危命令注入漏洞。该漏洞存在于设备的NTP时间同步功能中,具体位于NTPSyncWithHost函数。攻击者可通过构造恶意的host_time参数值,在受影响设备上执行任意系统命令。由于该漏洞无需认证即可利用,且存在于路由器的网络管理接口,攻击者可在同一网络广播域内发起攻击。此漏洞可能导致路由器完全沦陷,攻击者可窃取网络流量、植入后门或将其纳入僵尸网络。TOTOLINK作为知名的网络设备制造商,其产品广泛应用于家庭和中小企业环境,该漏洞影响范围较大,需要及时修复。
该漏洞属于典型的命令注入(Command Injection)类型,存在于TOTOLINK A3300R路由器的Web管理界面NTP配置功能中。NTPSyncWithHost函数在处理用户输入的host_time参数时,未对输入进行充分的输入验证和命令过滤,直接将用户可控的参数拼接到系统命令字符串中执行。攻击者可在host_time参数中注入分号(;)、管道符(|)、反引号(`)等命令分隔符或命令替换符号,后跟恶意系统命令。由于路由器以root权限运行Web服务,注入的命令将以最高权限执行,实现完全控制。攻击者通常利用此漏洞通过发送特制的HTTP POST请求到/cgi-bin-luci/或类似的管理接口,触发漏洞执行命令。常见利用包括写入webshell、添加SSH后门或下载执行恶意脚本。