A8000RU 命令注入漏洞总结 漏洞概述 在 TOTOLINK A8000RU 路由器的 中发现了一个命令注入漏洞。攻击者可以通过构造恶意请求,利用 参数执行任意操作系统命令。 影响范围 厂商: TOTOLINK 产品: A8000RU 版本: 7.1cu643.b20200521 修复方案 目前页面未提供具体的修复方案,建议联系厂商获取补丁或更新固件。 漏洞描述 漏洞存在于 中,攻击者可以通过构造请求中的 参数,将其值传递给 函数,最终通过 执行系统命令。 概念验证 (PoC) 以下是利用该漏洞的 HTTP 请求示例: 结果 提交上述 HTTP 请求后,观察到 文件成功创建,其内容正是文件夹中文件名的列表。这证实了命令 已成功执行。