CVE-2026-5691Totolink A7100RU路由器(固件版本7.4cu.2313_b20191024)存在高危安全漏洞。该漏洞位于/cgi-bin/cstecgi.cgi文件的setFirewallType函数中,由于未正确过滤firewallType参数,导致操作系统命令注入。攻击者可远程发送特制请求利用此漏洞在设备上执行任意系统命令,目前利用代码已公开,风险较高。
漏洞存在于Totolink A7100RU设备的CGI接口处理逻辑中。当Web服务器处理/cstecgi.cgi请求并调用setFirewallType功能时,直接将用户提供的firewallType参数拼接到系统命令中执行,缺乏有效的安全过滤机制。攻击者可通过构造包含分隔符(如分号)的恶意Payload(例如:custom; <command>),绕过原有逻辑并注入执行任意操作系统命令,从而完全控制受影响设备。
暂无PoC代码
暂无版本信息