平台
linux
组件
totolink-a7100ru
修复版本
7.4.1
CVE-2026-5853 是一个在 Totolink A7100RU 设备中发现的严重命令注入漏洞,影响了 /cgi-bin/cstecgi.cgi 文件的 setIpv6LanCfg 函数。该漏洞允许攻击者通过操纵 addrPrefixLen 参数在服务器上执行任意操作系统命令,可能导致设备被完全控制。该漏洞影响 Totolink A7100RU 7.4cu.2313b20191024–7.4cu.2313b20191024 版本。目前尚未发布官方补丁。
Totolink A7100RU 路由器(版本 7.4cu.2313_b20191024)中发现了一种关键的操作系统命令注入漏洞(CVE-2026-5853)。该漏洞位于 /cgi-bin/cstecgi.cgi 文件的 setIpv6LanCfg 函数中,具体涉及 addrPrefixLen 参数的处理。攻击者可以通过操纵此参数,在设备上执行任意命令,从而可能危及网络的安全性。该漏洞的严重程度被评为高(CVSS 9.8),原因是其易于利用、远程可访问以及缺乏官方修复。漏洞利用程序的公开披露大大增加了攻击的风险。
可以通过针对 /cgi-bin/cstecgi.cgi 文件的恶意 HTTP 请求远程利用此漏洞。攻击者可以将操作系统命令注入到 addrPrefixLen 参数中,然后路由器将执行这些命令。漏洞利用程序的公开披露使得攻击复制变得容易,并增加了恶意行为者利用此漏洞破坏 Totolink A7100RU 设备的风险。脆弱函数中缺乏适当的身份验证,允许任何具有网络访问权限的人利用此漏洞。建议对网络进行全面的安全审计,以识别和减轻潜在风险。
漏洞利用状态
EPSS
1.25% (79% 百分位)
CISA SSVC
目前,Totolink 尚未为此漏洞提供官方修复程序(补丁)。最有效的缓解措施是,在发布更新之前避免使用此路由器。如果必须使用该设备,请将其与主网络隔离,限制其对互联网和敏感设备的访问。实施强大的防火墙并积极监控网络流量可以帮助检测和防止潜在攻击。考虑用更安全、更新的型号替换路由器。缺乏官方补丁使情况变得 критический,需要积极的风险管理。
Actualice el firmware del dispositivo Totolink A7100RU a una versión corregida por el fabricante. Consulte el sitio web oficial de Totolink para obtener la última versión del firmware y las instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
这是一个此安全漏洞的唯一标识符。
如果您拥有 Totolink A7100RU 并且固件版本为 7.4cu.2313_b20191024,则会受到影响。
将路由器与主网络隔离,并限制其对互联网的访问。
目前没有官方解决方案可用。
请在 NIST NVD 等漏洞数据库或安全论坛中搜索。
CVSS 向量