CVE-2026-6112 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS 命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，彻底控制设备。

🔍 **CWE**：CWE-78 (OS 命令注入)。 📍 **缺陷点**：CGI 组件 `/cgi-bin/cstecgi.cgi` 中的 `setRadvdCfg` 函数。 ⚠️ **原因**：对参数 `maxRtrAdvInterval` 处理不当，未做严格过滤。

📦 **厂商**：TOTOLINK (中国吉翁电子)。 📱 **型号**：A7100RU。 🔢 **版本**：7.4cu.2313_b20191024。

👑 **权限**：最高权限（Root/System）。 📊 **影响**：CVSS 3.1 评分极高 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 📉 **后果**：机密性、完整性、可用性均遭受 **完全破坏**。

🚪 **利用门槛**：极低。 🔓 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

📂 **PoC**：数据中 `pocs` 字段为空，无直接代码。 🔗 **参考**：GitHub 上有相关漏洞库条目 (VDB-356972) 和提交记录，可能存在社区复现脚本。 🌍 **在野**：数据未明确提及在野利用，但鉴于低门槛，风险极高。

🔎 **检测特征**：扫描目标是否运行 TOTOLINK A7100RU 特定固件。 📡 **流量分析**：监测对 `/cgi-bin/cstecgi.cgi` 的 POST 请求，检查 `maxRtrAdvInterval` 参数是否包含注入字符（如 `;`, `|`, `&&`）。

🛠️ **补丁**：数据未提供官方补丁链接或修复状态。 📅 **发布时间**：2026-04-12 公布。 🔗 **厂商站**：建议访问 totolink.net 查询更新。

🛡️ **临时规避**： 1. **隔离**：将路由器置于隔离 VLAN，限制外部访问。 2. **WAF/IPS**：部署规则拦截对 `cstecgi.cgi` 的恶意参数注入。 3. **关闭**：如非必要，暂时关闭远程管理功能。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：无需认证、远程利用、CVSS 满分潜力、IoT 设备通常缺乏后续维护。 💡 **建议**：立即隔离受影响设备，优先寻找替代方案或等待官方补丁。