A8000RU 命令注入漏洞总结 漏洞概述 TOTOLINK A8000RU 路由器存在命令注入漏洞。攻击者可通过构造恶意请求,在 中利用 参数控制 的值,进而通过 函数将用户输入拼接到 命令中,最终通过 执行任意系统命令。 影响范围 厂商: TOTOLINK 产品: A8000RU 版本: 7.1cu.643_b20200521 漏洞类型: 命令注入 (Command Injection) 修复方案 厂商尚未提供官方补丁。 建议用户暂时禁用该功能或限制对 的访问权限。 升级至修复版本(如有)。 利用代码 (PoC) 验证结果 执行上述请求后,路由器成功创建了 文件,其内容为 所在目录下的文件列表,证明命令注入成功。