从提供的截图中,我们可以获取到关于漏洞的关键信息如下: 1. 漏洞标题及编号 CVE编号: CVE-2025-70329 漏洞标题: TOTOLink X5000R_Latest bug fix version v9.1.0cu_2415_B20250515 OS Command Injection 2. 漏洞类型及发现者 漏洞类型: OS Command Injection (CWE-78) 发现者: Neighborhood-Hacker Team 3. 漏洞影响范围及成因 受影响产品: TOTOLink X5000R_Latest bug fix version v9.1.0cu_2415_B20250515 成因分析: 漏洞存在于 可执行文件的 处理器中, 值未经验证即被插入到 调用中,导致命令注入风险。 4. 提议的修复方案 对 值使用 进行验证,并使用数字白名单(1-4094);验证失败时拒绝并记录。避免在shell字符串中嵌入输入。 5. 漏洞利用展示 通过构造HTTP POST请求,利用 参数注入恶意命令,实现了远程命令执行。 6. 披露时间线 2025-10-22: 漏洞报告给厂商(TOTOLINK)。 2025-12-21: 厂商未响应,60天后报告给MITRE。 2025-12-22: 报告给MITRE的CVE分配团队。 2026-02-11: CVE ID预留状态。 2026-02-23: 对外公开披露(0-day)并通知MITRE进行发布。 这些信息汇总了漏洞的关键细节,包括其发现、成因、影响、利用方式及修正建议,为修复和防范提供了重要参考。