漏洞关键信息总结 1. 漏洞概述 该漏洞是一个存在于 Totolink A7100RU 路由器 Web 管理界面中的预认证 OS 命令注入漏洞(Pre-authentication OS command injection)。 漏洞原理:在 接口的 功能中,CGI 处理器直接获取 HTTP 参数 的用户控制输入,并将其直接嵌入到 shell 命令字符串中,随后使用 执行。该过程未对输入进行任何转义(escaping)或清理(sanitization)。 危害:远程攻击者无需任何认证即可向该接口注入任意 shell 命令,并以 root 权限执行。这将导致路由器设备被完全攻陷,并可能进一步攻陷连接的网络。 2. 影响范围 设备型号:Totolink A7100RU 受影响固件版本:7.4cu.2313_b20191024 受影响组件:Web 管理界面 ( ) 的 功能。 3. 修复方案 截图中未直接提供官方修复补丁。根据描述,修复方案应针对 功能,确保对用户输入的 参数进行严格的验证、转义或清理,防止命令注入。 4. PoC/利用代码 截图中未直接展示代码块,但提供了 PoC 的获取链接: Source (GitHub): VulDB Entry**: