CVE-2022-2487 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入 (OS Command Injection)。 💥 **后果**：攻击者可执行任意系统命令，导致设备被完全控制、数据泄露或恶意软件植入。

🛡️ **CWE**：CWE-78 (OS 命令注入)。 🔍 **缺陷点**：`/cgi-bin/nightled.cgi` 脚本中，**start_hour** 参数未进行严格过滤或转义，直接拼接进系统命令执行。

📦 **厂商**：WAVLINK (中国)。 📱 **受影响产品**： - **WN535K2** - **WN535K3** ⚠️ 均为无线路由器设备。

👑 **权限**：获取 **Root/最高权限** (CVSS A:H)。 📂 **数据**：可窃取敏感信息 (C:H)。 🔧 **操作**：可修改系统数据 (I:H)，甚至植入后门。

🔐 **认证**：需要 **本地认证** (PR:L)。 📡 **攻击面**：攻击者需处于 **相邻网络** (AV:A)。 🚫 **无需** 用户交互 (UI:N)。 📉 **难度**：低 (AC:L)。

📜 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei Templates。 🌍 **在野**：数据未明确提及大规模在野利用，但漏洞细节已公开。

🔍 **检测特征**： 1. 访问 `/cgi-bin/nightled.cgi`。 2. 构造恶意 **start_hour** 参数 (如 `1;id`)。 3. 观察响应是否包含命令执行结果。 🛠️ **工具**：使用 Nuclei 模板扫描。

🩹 **补丁**：数据未提供官方补丁链接或修复版本信息。 ⚠️ 建议联系 WAVLINK 官方获取固件更新。

🚧 **临时规避**： 1. **隔离**：将路由器置于独立 VLAN，限制访问。 2. **关闭**：若无需夜间LED功能，尝试禁用相关服务。 3. **监控**：加强日志审计，监测异常 CGI 请求。

⚡ **优先级**：**高 (Critical)**。 📊 **CVSS**：9.8 (AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。 💡 **建议**：立即排查受影响设备，尽快升级固件或实施网络隔离。