CVE-2026-31169ToToLink A3300R路由器在固件v17.0.0cu.557_B20221024中存在安全缺陷。由于/cgi-bin/cstecgi.cgi接口对week参数缺乏有效的过滤机制,未经身份验证的远程攻击者可利用此漏洞注入恶意操作系统命令。成功利用该漏洞可能导致攻击者在设备上执行任意代码,进而窃取敏感数据、篡改系统配置或造成拒绝服务,对网络安全构成显著威胁。
该漏洞属于典型的操作系统命令注入漏洞,其根源在于ToToLink A3300R路由器固件对用户输入的校验不足。具体而言,漏洞触发点位于Web管理界面的/cgi-bin/cstecgi.cgi CGI脚本中。当该脚本处理来自客户端的请求时,针对“week”参数(通常用于定义周期性任务的时间规则)的数据处理逻辑存在缺陷。程序未对该参数进行净化处理,直接将其拼接到系统命令字符串中并调用popen或system等函数执行。由于CVSS向量显示PR:N(无需权限)和UI:N(无需用户交互),这表明/cgi-bin/cstecgi.cgi暴露在广域网接口且未受到有效的身份验证机制保护。攻击者只需向目标设备发送特制的HTTP POST请求,在week参数中注入Shell元字符(如分号;、管道符|或反引号`),即可闭合原有命令并追加执行任意恶意指令。鉴于IoT设备通常以Root权限运行Web服务,攻击者成功利用后可获得设备的最高控制权,植入后门或修改路由表,进一步发动内网渗透。