平台
other
组件
vuln-of-totolink_a3300r
修复版本
17.0.1
CVE-2026-5103 描述了 Totolink A3300R 路由器中的一个命令注入漏洞,该漏洞允许攻击者执行任意命令。 攻击者可以通过操纵 enable 参数来利用此漏洞。 漏洞影响版本为 17.0.0cu.557_b20221024。 由于没有官方补丁,用户应采取其他安全措施。
Totolink A3300R 路由器版本 17.0.0cu.557_b20221024 (CVE-2026-5103) 存在命令注入漏洞。该漏洞位于 /cgi-bin/cstecgi.cgi 文件的 setUPnPCfg 函数中。通过恶意操纵 enable 参数,攻击者可以在设备上执行任意命令。该漏洞的 CVSS 评分是 6.3,表明中等严重程度。允许远程利用,这意味着攻击者无需物理访问即可破坏路由器。公开可用的漏洞利用显著增加了定向攻击的风险。成功利用可能使攻击者获得对路由器的控制权、访问内部网络以及潜在地破坏连接的设备。
此漏洞源于 setUPnPCfg 函数中输入验证不足,特别是关于 enable 参数。攻击者可以通过创建针对 /cgi-bin/cstecgi.cgi 的恶意 HTTP 请求来注入和执行系统命令。漏洞利用的公开可用性降低了攻击者的入门门槛。根本原因是缺乏对用户提供的输入进行适当的清理,从而允许命令注入。
Small and medium-sized businesses (SMBs) and home users relying on the Totolink A3300R router are at significant risk. Organizations with multiple Totolink A3300R routers deployed in their networks face a broader attack surface. Users with exposed routers or those lacking robust network security practices are particularly vulnerable.
• linux / server:
journalctl -u cstecgi -g 'command injection'• generic web:
curl -I 'http://<router_ip>/cgi-bin/cstecgi.cgi?enable=<suspicious_input>' | grep 'HTTP/1.1 500' # Check for error responses indicating command execution failuredisclosure
漏洞利用状态
EPSS
2.16% (84% 百分位)
CISA SSVC
目前,Totolink 尚未为此漏洞提供官方修复程序(KEV:无)。最有效的缓解措施是避免使用此路由器,直到发布固件更新。作为临时措施,建议对网络进行分段,以限制路由器对敏感设备的访问。在路由器配置中禁用 UPnP(通用即插即用)可以减少攻击面,尽管这可能会影响某些应用程序的功能。监控网络流量以查找可疑活动也可以帮助检测和响应潜在攻击。强烈建议用户随时关注 Totolink 的任何安全公告,并在可用时更新固件。
将 Totolink A3300R 路由器的固件更新到制造商提供的 17.0.0cu.557_b20221024 之后的版本。请参阅 Totolink 网站以获取最新的固件版本和更新说明。
漏洞分析和关键警报直接发送到您的邮箱。
命令注入是一种安全漏洞,允许攻击者在系统上执行任意命令。
CVE-2026-5103 是此特定漏洞的唯一标识符。
如果您使用的是固件版本 17.0.0cu.557_b20221024 的 Totolink A3300R,则很可能容易受到攻击。
作为临时缓解措施,请对您的网络进行分段并禁用 UPnP。
根据可用的信息,Totolink 尚未发布修复程序(KEV:无)。
CVSS 向量