CVE-2026-5997 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:TOTOLINK A7100RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**:攻击者可执行任意系统命令,完全控制设备。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78 (OS命令注入)。 📍 **缺陷点**:文件 `/cgi-bin/cstecgi.cgi` 中参数 `admpass` 处理不当,未过滤恶意输入。
Q3影响谁?(版本/组件)
📦 **厂商**:TOTOLINK (中国吉翁电子)。 📱 **型号**:A7100RU。 📌 **版本**:7.4cu.2313_b20191024。
Q4黑客能干啥?(权限/数据)
👑 **权限**:高 (CVSS A:H)。 📊 **影响**:机密性、完整性、可用性均受严重威胁 (C:H, I:H)。 🕵️ **黑客能力**:可获取敏感数据、篡改配置、甚至接管整个网络。
Q5利用门槛高吗?(认证/配置)
🔓 **认证**:PR:N (无需认证)。 🌐 **攻击向量**:AV:N (网络远程)。 ⚡ **门槛**:极低,无需用户交互 (UI:N),直接远程利用。
Q6有现成Exp吗?(PoC/在野利用)
📂 **PoC**:数据中 `pocs` 为空数组,无直接代码。 🔗 **参考**:GitHub 上有相关漏洞说明 (Litengzheng/vuldb_new),VDB 有技术描述,但无明确“在野利用”报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描目标是否运行 TOTOLINK A7100RU 特定版本。 📡 **检测**:向 `/cgi-bin/cstecgi.cgi` 发送包含恶意 payload 的 `admpass` 参数请求,观察响应或系统行为。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:数据未提供官方补丁链接或具体修复版本。 📅 **发布时间**:2026-04-10,建议立即联系厂商或检查官网更新。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 修改默认管理员密码。 2. 禁用远程管理功能。 3. 在防火墙限制对 `cstecgi.cgi` 的访问。 4. 升级固件至最新安全版本。
Q10急不急?(优先级建议)
🔥 **优先级**:极高 (CVSS 9.8 左右)。 ⚠️ **建议**:无需认证即可远程利用,危害极大。建议 **立即** 采取缓解措施或升级固件。