漏洞关键信息 漏洞描述 漏洞类型: 命令执行漏洞 影响范围: DCME-320 路由器的 web 管理后台 漏洞详情: 攻击者可以利用该漏洞执行任意代码并控制设备。 漏洞位置 文件路径: 漏洞分析 当 参数等于 时,会调用 函数。 在 函数中,进一步调用 函数。 函数中, 参数被直接拼接到命令中并执行,导致命令注入漏洞。 漏洞验证 使用默认密码 登录,不修改密码。 访问以下链接: 在 参数中注入命令,例如执行 命令并将结果写入 文件。 受影响版本 最新版本 环境搭建 使用 Fofa dork: 筛选出受影响设备 IP。 PoC 漏洞验证结果 成功执行命令,返回 信息。 总结 此漏洞允许攻击者通过 web 管理后台直接执行任意命令,建议厂商尽快修复并发布安全更新。