CVE-2026-7153 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A8000RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：CGI组件 `/cgi-bin/cstecgi.cgi` 中的 `setMiniuiHomeInfoShow` 函数。 ⚠️ **原因**：对参数 `sys_info` 处理不当，未过滤恶意输入。

📦 **厂商**：TOTOLINK (中国吉翁电子)。 📱 **产品**：A8000RU 无线路由器。 🏷️ **版本**：7.1cu.643_b20200521 及可能更早版本。

👑 **权限**：最高权限 (Root/System)。 📊 **数据**：可读取/修改所有配置、日志、用户数据。 🌐 **影响**：CVSS 3.1 满分 9.8，机密性、完整性、可用性均受 **H (High)** 影响。

🚪 **认证**：无需认证 (PR:N)。 🌍 **攻击面**：网络可达即可 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

💻 **Exp**：GitHub 上有相关利用代码 (参考链接1)。 🌍 **在野**：数据未明确显示大规模在野利用，但 PoC 已公开。 📚 **来源**：VDB-359752 提供技术细节。

🔎 **扫描**：检测 CGI 请求中的 `sys_info` 参数异常。 📡 **特征**：针对 `/cgi-bin/cstecgi.cgi` 发送包含 shell 元字符的 payload。 🛠️ **工具**：使用 Nmap 脚本或自定义 Burp Suite 宏进行测试。

🛡️ **补丁**：官方链接指向 totolink.net，需检查是否有新版固件。 📅 **披露**：2026-04-27 发布，建议立即联系厂商获取修复版本。 ⚠️ **注意**：数据未提供直接补丁下载链接，需自行核实。

🚧 **规避**：关闭路由器的 **WAN 口管理** 功能。 🔒 **隔离**：将路由器置于 **DMZ** 或隔离 VLAN，限制外部访问。 🚫 **过滤**：在防火墙层拦截对 `/cgi-bin/cstecgi.cgi` 的外部请求。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：CVSS 9.8 分，无需认证，远程直接控制。 🏃 **行动**：立即升级固件或实施网络隔离，切勿暴露在公网。