漏洞概述 CVE编号: CVE-2026-48695 漏洞类型: OS命令注入(CVE-78)和硬编码凭证(CVE-798) 发现者: Lorikeet Security 发布日期: 2026年5月23日 漏洞描述: FastNetMon的MikroTik插件中存在两个安全漏洞: 1. OS命令注入: 在 函数中,攻击者可以通过构造恶意输入执行任意命令。 2. 硬编码凭证: 插件中硬编码了MikroTik路由器的默认用户名和密码( 和 ),任何安装了该插件且未更改默认凭证的用户都面临风险。 影响范围 受影响版本: FastNetMon Community Edition <= 1.2.9 受影响组件: 攻击向量: 间接远程(通过攻击通知管道) 修复方案 1. OS命令注入修复: - 替换 函数,使用PHP的 函数,类似于CVE-2026-48687中的推荐修复方法。 - 示例代码: 2. 硬编码凭证修复: - 将凭证外部化,从配置文件中读取,并确保配置文件具有适当的权限。 - 示例代码: 3. 补偿控制: - 立即更改MikroTik路由器的凭证。 - 限制MikroTik API端口的访问。 - 使用TLS API端口(8729)而非明文端口(8728)。 - 审计MikroTik日志以检测异常活动。 - 对 应用与Juniper插件相同的验证。 - 如果不需要MikroTik配置,禁用该插件。 披露时间线 2026-04-25: 漏洞在Lorikeet Security对FastNetMon Community Edition 1.2.9的源代码审计中被发现。 2026-04-25: 向FastNetMon LTD发送了CVE请求。 2026-04-25: 通知FastNetMon LTD。 2026-05-22: CVE-2026-48695由MITRE分配。 2026-05-23: Lorikeet Security发布负责任披露报告。