CVE-2026-1326CVE-2026-1326是影响TOTOLINK NR1800X路由器9.1.0u.6279_B20210910固件版本的命令注入漏洞。该漏洞存在于Web管理界面的CGI接口中,具体位于/cgi-bin/cstecgi.cgi文件的setWanCfg函数。攻击者可以通过构造恶意的POST请求,利用Hostname参数注入任意系统命令。由于该漏洞可通过远程方式利用,且只需要低权限认证即可实施攻击,因此对暴露在互联网中的路由器设备构成严重安全威胁。漏洞利用已被公开披露,攻击代码可在开源项目中获取,攻击者可借此完全控制受影响的路由器设备,执行任意命令、安装后门或将其纳入僵尸网络。TOTOLINK作为知名的网络设备制造商,其产品广泛应用于家庭和中小企业场景,此类漏洞的存在可能导致大量设备面临被入侵的风险。
该漏洞为典型的命令注入(Command Injection)漏洞,存在于TOTOLINK NR1800X路由器的Web管理接口中。漏洞点位于cgi-bin/cstecgi.cgi文件内的setWanCfg函数,该函数负责处理WAN配置参数。攻击者通过构造包含恶意载荷的POST请求,在Hostname参数中注入系统命令。由于应用程序未对用户输入进行充分的过滤和验证,直接将用户可控的参数拼接到系统命令中执行,导致命令注入漏洞。攻击者可以利用分号、管道符或反引号等命令连接符,在正常的网络配置操作中注入额外的系统命令。攻击者可通过此漏洞获取设备的root权限,执行任意代码、读取敏感配置信息或植入持久化后门。由于该接口通常无需高权限认证即可访问(只需低权限),大大降低了攻击门槛。