A8000RU 命令注入漏洞总结 漏洞概述 在 TOTOLINK A8000RU 路由器的 中发现命令注入漏洞。攻击者可以通过构造恶意请求,在路由器上执行任意操作系统命令。 漏洞位于 函数中,该函数读取用户提供的参数 并将其值传递给 函数。然而, 的值被插入到 中,使用 处理,最终由 函数通过 执行。 影响范围 厂商: TOTOLINK 产品: A8000RU 版本: 7.1cu.643.b20200521 漏洞类型: 命令注入 (Command Injection) 修复方案 页面未提供具体的修复方案。建议联系厂商 TOTOLINK 获取安全更新或补丁。 概念验证 (PoC) 结果 提交 HTTP 请求后,观察到 文件成功创建,其内容正是文件夹中的文件名列表。这证实了命令 已成功执行。