CVE-2026-6168TOTOLINK A7000R 路由器固件版本 9.1.0u.6115 及之前版本中存在严重的栈缓冲区溢出漏洞。该漏洞位于 /cgi-bin/cstecgi.cgi 接口的 setWiFiEasyGuestCfg 函数中,因对 ssid5g 参数缺乏足够的边界检查,攻击者可发送特制数据包触发栈溢出。成功利用此漏洞可能导致远程代码执行,完全控制设备。
该漏洞属于典型的栈缓冲区溢出。在 TOTOLINK A7000R 的 Web 管理接口 /cgi-bin/cstecgi.cgi 二进制文件中,setWiFiEasyGuestCfg 函数主要负责处理访客 Wi-Fi 的配置请求。漏洞的根本原因在于该函数在解析 HTTP POST 请求参数 ssid5g 时,使用了不安全的字符串拷贝操作(例如 strcpy),直接将用户可控的输入数据复制到栈上的固定大小缓冲区内,且未对输入数据的长度进行任何边界检查。由于攻击者完全控制 ssid5g 参数的内容,当构造的超长字符串发送至服务器时,多余的数据将会溢出缓冲区并覆盖栈上的返回地址或相邻的敏感变量。CVSS 3.1 评分为 8.8,攻击网络复杂度低,无需用户交互。尽管攻击向量要求低权限(PR:L),但在实际路由器环境中,攻击者可能结合弱口令或其它漏洞获取权限后利用此漏洞提升权限。利用成功后,攻击者可劫持控制流,以 Root 权限执行任意系统命令。