CVE-2025-56127CVE-2025-56127是锐捷网络(Ruijie Networks)生产的RG-BCR600W路由器中存在的一个严重的操作系统命令注入(OS Command Injection)漏洞。该漏洞位于Web管理界面的common.lua文件中,具体涉及get_wanobj函数。由于该函数对用户输入缺乏有效的安全过滤和参数验证,攻击者可以通过构造恶意的POST请求参数,在底层操作系统上执行任意命令。成功利用此漏洞的攻击者可以在受影响设备上获得完全的控制权限,执行任意系统命令、上传恶意文件、窃取敏感数据或将其作为进一步攻击内网的跳板。该漏洞的CVSS评分高达8.8,属于高危级别,且由于攻击向量为网络且不需要高权限,对互联网暴露的锐捷RG-BCR600W设备构成严重威胁。建议受影响的用户立即采取防护措施并关注厂商更新。
该漏洞本质上是由于应用层对用户可控输入的安全处理不当导致的操作系统命令注入问题。在锐捷RG-BCR600W路由器的Web管理接口中,后端采用Lua脚本处理HTTP请求,漏洞点位于/usr/lib/lua/luci/controller/admin/common.lua文件中的get_wanobj函数。该函数接收来自POST请求的参数后,直接将用户输入拼接到系统命令中执行,而未进行任何命令注入防护措施(如输入过滤、参数化执行或严格的输入验证)。攻击者只需要通过认证(低权限即可)发送精心构造的POST请求,在请求参数中嵌入操作系统命令(如分号、反引号或管道符等特殊字符),即可实现命令注入。由于Web管理接口通常以root权限运行,注入的命令将以最高权限执行,攻击者可以完全控制整个设备系统。攻击者可以利用该漏洞执行反弹shell、安装后门、修改路由表或提取设备配置文件等敏感信息。