CVE-2026-5850 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：CGI Handler 组件 `/cgi-bin/cstecgi.cgi` 中的 `setVpnPassCfg` 函数。 ⚠️ **原因**：参数 `pptpPassThru` 未做严格过滤，直接拼接执行。

📦 **厂商**：TOTOLINK (中国吉翁电子)。 📱 **产品**：A7100RU 无线路由器。 📌 **版本**：固件版本 **7.4cu.2313_b20191024** 受影响。

👑 **权限**：无需认证 (PR:N)，攻击者拥有 **Root/System** 级权限。 📊 **影响**： - **机密性**：高 (读取所有数据) - **完整性**：高 (篡改配置/文件) - **可用性**：高 (瘫痪设备)

🚪 **门槛**：**极低**。 🌐 **网络**：网络可达即可 (AV:N)。 🔑 **认证**：**无需登录** (PR:N)。 👤 **交互**：无需用户操作 (UI:N)。 📈 **复杂度**：低 (AC:L)。

💻 **Exploit**：GitHub 上有相关利用代码 (参考链接: `Litengzheng/vuldb_new`)。 🔥 **在野**：数据未明确提及大规模在野利用，但 PoC 已公开，风险极高。

🔎 **扫描特征**： 1. 目标为 TOTOLINK A7100RU。 2. 请求路径：`/cgi-bin/cstecgi.cgi`。 3. 参数包含 `pptpPassThru`。 4. 注入测试 payload (如 `;id`) 观察回显。

🛡️ **补丁状态**：数据中未提供官方补丁链接或具体修复版本。 📅 **披露时间**：2026-04-09。 💡 **建议**：立即联系厂商获取固件更新或安全公告。

⚠️ **临时规避**： 1. **禁用远程管理**：关闭路由器的 WAN 侧 CGI 访问。 2. **防火墙策略**：限制对路由器管理接口 (80/443) 的访问，仅允许内网 IP。 3. **修改默认密码**：虽无认证绕过，但加强本地访问安全。

🔥 **优先级**：**紧急 (Critical)**。 📉 **CVSS**：9.8 (极高)。 💡 **建议**：由于 **无需认证** 且 **远程可利用**，建议立即隔离设备或应用网络层缓解措施，并尽快升级固件。