A8000RU 命令注入漏洞总结 漏洞概述 在 TOTOLINK A8000RU 路由器的 中发现命令注入漏洞。攻击者可以通过构造恶意请求,在路由器上执行任意操作系统命令。 漏洞成因: 函数 读取用户提供的参数 该值被插入到 变量中,并通过 格式化 最终由 函数中的 执行命令 影响范围 厂商: TOTOLINK 产品: A8000RU 版本: 7.1cu.643.b20200521 修复方案 目前页面未提供具体的修复方案。建议: 1. 升级到最新安全版本 2. 对用户输入进行严格的过滤和验证 3. 避免直接使用用户输入执行系统命令 概念验证代码 (PoC) 验证结果: 提交上述 HTTP 请求后,成功创建了 文件,其内容精确列出了文件夹中的文件名,确认命令 已成功执行。