A8000RU 漏洞总结 漏洞概述 漏洞类型: 命令注入 (Command Injection) 受影响组件: 漏洞描述: 在 中发现命令注入漏洞,允许远程攻击者通过构造请求执行任意操作系统命令。 漏洞细节: - 在 函数中,读取用户提供的参数 并将其值传递给 函数。 - 的值被插入到 中,使用 函数,然后由 函数处理。 - 最终,命令将通过 在 中执行。 影响范围 厂商: TOTOLINK 产品: A8000RU 版本: 7.1.cu.443_b20200521 修复方案 下载链接: TOTOLINK 官方下载页面 概念验证 (PoC) 结果 提交 HTTP 请求后,观察到 文件成功创建,其内容正是文件夹中的文件名列表。这证实了命令 已成功执行。