CVE-2026-5993 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:TOTOLINK A7100RU 路由器存在 **OS 命令注入** 漏洞。 💥 **后果**:攻击者可远程执行任意系统命令,完全控制设备。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78(OS 命令注入)。 📍 **缺陷点**:文件 `/cgi-bin/cstecgi.cgi` 中的 `setWiFiGuestCfg` 函数。 ⚠️ **原因**:对参数 `wifiOff` **缺乏适当验证**,直接拼接执行。
Q3影响谁?(版本/组件)
📦 **厂商**:TOTOLINK(中国吉翁电子)。 📱 **型号**:A7100RU。 🏷️ **版本**:7.4cu.2313_b20191024。
Q4黑客能干啥?(权限/数据)
👑 **权限**:最高权限(Root/System)。 📊 **数据**:可读取/修改所有配置、窃取密钥、植入后门。 🌐 **范围**:CVSS 评分极高(C:H/I:H/A:H),影响完整。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:无需认证(PR:N)。 🌐 **网络**:网络可达即可(AV:N)。 ⚡ **复杂度**:低(AC:L)。 👤 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📂 **PoC**:GitHub 上有相关利用代码(参考链接 1)。 🌍 **在野**:数据未明确提及大规模在野利用,但 PoC 已公开,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **扫描特征**:检测对 `/cgi-bin/cstecgi.cgi` 的 POST 请求。 🧪 **注入点**:参数 `wifiOff` 中是否包含特殊字符(如 `;`, `|`, `&&`)。 📡 **工具**:使用支持 CGI 注入检测的扫描器。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:数据中未提供官方补丁链接或版本更新信息。 ⏳ **状态**:截至 2026-04-10 发布,暂无明确修复方案。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **隔离**:将路由器置于隔离 VLAN,限制外网访问。 2. **关闭**:如非必要,关闭远程管理功能。 3. **监控**:监控异常 CGI 请求日志。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 💡 **建议**:CVSS 满分级风险,无认证即可利用。建议立即下线或隔离,等待官方修复。