CVE-2026-6029 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：文件 `/cgi-bin/cstecgi.cgi` 中参数 **User** 未做严格过滤，直接拼接执行。

📦 **厂商**：TOTOLINK (中国吉翁电子)。 📱 **型号**：A7100RU。 📅 **版本**：7.4cu.2313_b20191024。

👑 **权限**：最高权限 (Root/System)。 📊 **数据**：可读取/修改配置、窃取密钥、植入后门，甚至控制内网。

🚪 **门槛**：极低。 🌐 **网络**：网络可达 (AV:N)。 🔑 **认证**：无需认证 (PR:N)。 👁️ **交互**：无需用户交互 (UI:N)。

💻 **Exp**：GitHub 上有相关利用代码 (参考 Litengzheng/vuldb_new)。 🌍 **在野**：暂无明确在野利用报告，但 PoC 已公开。

🔎 **特征**：扫描 `/cgi-bin/cstecgi.cgi` 接口。 🧪 **检测**：构造包含恶意 shell 字符的 **User** 参数请求，观察回显或行为异常。

🛠️ **补丁**：数据未提供官方补丁链接。 ⚠️ **状态**：建议联系厂商 totolink.net 获取固件更新。

🛡️ **规避**：若无法升级，建议 **关闭** 相关 CGI 接口或限制管理界面访问 IP。 🚫 **隔离**：将路由器置于隔离 VLAN，限制外部访问。

🔥 **优先级**：**极高** (CVSS 9.8)。 ⚡ **建议**：立即检查设备版本，尽快升级固件或采取网络隔离措施。