漏洞概述 在 TOTOLINK A7100RU 路由器的 文件中发现了一个命令注入漏洞。攻击者可以通过构造恶意的 参数,将其传递给 函数。该函数的值随后被插入到 变量中(使用 格式化),并最终由 函数处理。最终,该命令通过 在 中被执行,允许远程攻击者执行任意操作系统命令。 影响范围 厂商 (Vendor): TOTOLINK 产品 (Product): A7100RU 版本 (Version):** 7.Acu.2313_b20191024 修复方案 建议更新路由器固件至最新版本,或针对 中的 和 调用进行代码审计与修复,避免直接拼接用户输入的参数。 利用代码 (PoC)