漏洞概述 在 TOTOLINK A7100RU 路由器的 程序中发现了一个命令注入(Command Injection)漏洞。攻击者可以通过构造恶意的 参数,该参数会被传递给 函数,随后通过 拼接到命令字符串中,最终由 函数通过 执行。这使得远程攻击者能够执行任意操作系统命令。 影响范围 Vendor: TOTOLINK Product: A7100RU Version:** 7.4cu.2313_b20191024 PoC 代码 修复方案 该漏洞源于用户输入( )未经验证直接用于系统命令执行。修复方案应涉及对用户输入进行严格的过滤和转义,避免将不可信数据直接传递给 或 等系统调用函数。