CVE-2025-56108CVE-2025-56108是锐捷网络(Ruijie)X30-PRO路由器中存在的一个严重的操作系统命令注入漏洞。该漏洞位于Web管理界面的pwdmodify功能中,具体位于/usr/lib/lua/luci/modules/common.lua文件。攻击者可以通过构造恶意的POST请求,在未经授权或低权限情况下远程执行任意系统命令。此漏洞的CVSS评分为8.8,属于高危级别,对路由器的机密性、完整性和可用性均造成严重影响。锐捷X30-PRO是一款广泛应用于企业网络的无线接入点设备,此次命令注入漏洞可能使大量企业网络面临被入侵的风险。攻击者成功利用该漏洞后可完全控制设备,执行任意命令、安装后门、窃取网络流量或将其作为进一步攻击内网的跳板。
该漏洞为典型的OS命令注入(OS Command Injection)漏洞,存在于Lua编写的Web管理接口模块中。漏洞点位于/usr/lib/lua/luci/modules/common.lua文件的pwdmodify处理函数。当Web应用处理用户输入时,未对用户提供的参数进行充分的输入验证和命令隔离,直接将用户输入拼接到系统命令中执行。攻击者可在POST请求的参数中注入分号、管道符等Shell特殊字符,构造恶意命令。例如,通过在pwdmodify参数中注入';whoami;'或'|cat /etc/passwd'等命令,系统会将其作为合法命令的一部分执行。由于该接口无需或仅需低权限认证,攻击门槛较低。攻击成功后,攻击者以root权限在设备上执行任意命令,可获取设备完全控制权。