CVE-2026-5995 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS 命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS Command Injection)。 📍 **缺陷点**：文件 `/cgi-bin/cstecgi.cgi` 中的 `setMiniuiHomeInfoShow` 函数。 ⚠️ **原因**：参数 `lan_info` 缺乏适当验证，直接拼接执行。

📦 **厂商**：Totolink (中国吉翁电子)。 📱 **产品**：A7100RU 无线路由器。 🔢 **版本**：7.4cu.2313_b20191024。

👑 **权限**：最高权限 (Root/System)。 📊 **影响**：CVSS 评分极高 (C:H/I:H/A:H)。 🔓 **能力**：读取敏感数据、修改配置、植入后门、横向移动。

🌐 **攻击向量**：网络远程 (AV:N)。 🔑 **认证**：无需认证 (PR:N)。 👤 **用户交互**：无需用户操作 (UI:N)。 📉 **难度**：低 (AC:L)，极易利用。

📂 **PoC**：GitHub 上有相关漏洞利用代码 (参考 Litengzheng/vuldb_new)。 🌍 **在野**：数据未明确显示大规模在野利用，但门槛极低，风险高。

🔎 **扫描特征**：检测对 `/cgi-bin/cstecgi.cgi` 的 POST 请求。 🧪 **注入点**：重点检查 `setMiniuiHomeInfoShow` 接口中的 `lan_info` 参数。 🛠️ **工具**：使用支持 CGI 模糊测试的扫描器。

🛡️ **补丁状态**：数据未提供官方补丁链接。 📅 **披露时间**：2026-04-10。 ⚠️ **建议**：立即联系厂商或检查固件更新页面。

🚧 **临时规避**： 1. **禁用 WAN 访问**：关闭路由器的远程管理功能。 2. **防火墙规则**：在边界防火墙拦截对路由器 CGI 接口的直接访问。 3. **修改默认密码**：虽不能防注入，但增加攻击成本。

🔥 **优先级**：P0 (紧急)。 📉 **风险**：CVSS 满分级，无需认证即可远程执行命令。 💡 **行动**：立即隔离受影响设备，优先升级固件或实施网络隔离。