漏洞概述 漏洞编号: #803265 漏洞名称: Totolink A8000RU 7.1cu.643_b20200521 Command Injection 漏洞描述: 在Totolink A8000RU 7.1cu.643_b20200521路由器的Web管理界面中,存在一个预认证操作系统命令注入漏洞。该漏洞位于 功能,通过 暴露。CGI处理程序从HTTP参数中检索用户控制的输入,并将其直接拼接到一个shell命令字符串中,使用 执行,而没有任何 sanitization 或 escaping。因此,具有网络访问权限的远程攻击者可以在Web界面中注入任意shell命令并以root权限在设备上执行,无需认证。这导致路由器的完全控制,并可能进一步影响所连接的网络。 影响范围 受影响设备: Totolink A8000RU 7.1cu.643_b20200521 影响级别: 高(可导致设备完全控制) 修复方案 当前状态: 已接受(Accepted) 提交日期: 2026年4月13日 审核日期: 2026年4月27日 POC代码 其他信息 用户: LzxHua2 (UID 95662) 点数: 20 VulDB entry: 359849 [Totolink A8000RU 7.1cu.643_b20200521 CGI /cgi-bin/cstecgi.cgi setOpenVpnClientCfg enabled os command injection]