A7100RU 命令注入漏洞总结 漏洞概述 在 TOTOLINK A7100RU 路由器固件中发现了一个命令注入漏洞。该漏洞存在于 程序中,允许远程攻击者通过构造特定的请求参数来执行任意操作系统命令。 影响范围 厂商: TOTOLINK 产品: A7100RU 受影响版本: 7.4ca_2313_b20191024 涉及组件: 中的 和 函数。 漏洞原理: 攻击者可以通过 参数注入命令。该参数值被传递给 函数,随后通过 格式化字符串,最终由 执行。 修复方案 截图中未提供具体的修复代码,但指出需要修复 和 的使用逻辑,防止用户输入直接拼接到系统命令中。 利用代码 (PoC)