CVE-2025-56082CVE-2025-56082是锐捷网络技术有限公司(Ruijie Networks)生产的RG-BCR600W路由器中存在的一个高危操作系统命令注入漏洞。该漏洞位于设备的Web管理界面,具体位于/usr/lib/lua/luci/controller/admin/common.lua文件中的check_changes端点。攻击者可以通过向该端点发送精心构造的POST请求,在设备上执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8分,属于高危级别,且攻击向量为网络层面,认证要求仅为低权限,因此具有较高的实际利用风险。受影响设备若暴露在互联网或不受信任的网络中,攻击者可无需用户交互即可获取设备的完全控制权,进而可能导致数据泄露、网络瘫痪或进一步横向渗透。
该漏洞属于典型的操作系统命令注入(OS Command Injection)漏洞。在Ruijie RG-BCR600W路由器的Web管理功能中,check_changes端点(位于/usr/lib/lua/luci/controller/admin/common.lua)未能对用户输入进行充分的验证和过滤,直接将用户可控的参数传递给底层系统命令执行函数。攻击者可在POST请求的参数中插入分号、反引号或管道符等特殊字符,后跟待执行的系统命令。例如,通过在参数中注入类似';whoami;'或'`id`'的命令,攻击者可以实现命令拼接,从而在设备上执行任意系统命令。由于Web管理接口通常以root权限运行,攻击成功后将获得设备的最高权限,可执行任意操作包括查看配置文件(可能包含敏感凭证)、修改路由表、安装后门程序等。