CVE-2026-7202Totolink A8000RU路由器在7.1cu.643_b20200521版本中存在严重的安全漏洞。该漏洞位于CGI处理程序的/cgi-bin/cstecgi.cgi文件的setWiFiWpsStart功能中。由于对参数wscDisabled缺乏严格的过滤,攻击者可以通过构造恶意请求进行操作系统命令注入。此漏洞无需身份验证即可远程利用,成功利用可能导致攻击者完全控制设备,造成高机密性、完整性和可用性影响。目前该漏洞利用代码已公开披露,风险极高。
该漏洞属于典型的操作系统命令注入漏洞。在Totolink A8000RU设备的Web管理界面中,/cgi-bin/cstecgi.cgi脚本负责处理各种配置请求。具体而言,当处理setWiFiWpsStart功能时,程序直接将用户提交的wscDisabled参数传递给后台系统命令执行环境,而未进行有效的安全过滤或转义。攻击者可以利用特定的Shell元字符(如;, |, &等)拼接恶意命令。由于CVSS向量显示无需用户交互且无需权限,攻击者只需向目标设备发送特制的HTTP POST请求即可触发漏洞。利用成功后,攻击者将以Web服务器权限(通常是root)执行任意系统命令,从而获取设备完全控制权,窃取敏感信息、植入后门或导致设备拒绝服务。