漏洞概述 漏洞编号: #79848 漏洞标题: Totolink A8000RU 7.1cu.643_b20200521 Command Injection 漏洞描述: 在TOTOLINK A8000RU 7.1cu.643_b20200521路由器的Web管理界面中,存在一个预认证操作系统命令注入漏洞。该漏洞位于 功能中,通过HTTP参数 暴露。CGI处理程序将用户控制的输入嵌入到 中,直接将其作为字符串使用 执行,并通过 执行,没有任何 sanitization 或 escaping。因此,远程攻击者可以通过网络访问Web界面注入任意shell命令并以root权限在设备上执行,无需认证。这可能导致路由器的完全妥协,甚至可能进一步影响所连接的网络。 影响范围 受影响设备: TOTOLINK A8000RU 7.1cu.643_b20200521 漏洞类型: 命令注入 影响级别: 高危(可导致设备完全被控) 修复方案 当前状态: 已接受(Accepted) 修复建议: 建议厂商尽快发布补丁,修复 功能中的命令注入漏洞。具体措施包括对用户输入进行严格的验证和过滤,避免直接将用户输入嵌入到系统命令中。 POC代码 其他信息 提交时间: 2026年4月7日 02:50 AM 审核时间: 2026年4月25日 05:39 PM VulDB条目: 359617 点数: 20 --- 社区内容: 提交由VulDB社区用户完成,VulDB不对内容或链接负责。请谨慎使用提供的信息,因为它们可能包含恶意或有害的操作、代码或数据。