CVE-2026-6116 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection）。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制路由器。 📉 **严重性**：CVSS 满分 10.0，高危中的高危！

🔍 **CWE**：CWE-78（不当限定操作系统命令）。 📍 **缺陷点**：`/cgi-bin/cstecgi.cgi` 中的 `setDiagnosisCfg` 函数。 ⚠️ **原因**：对参数 `ip` 的处理不当，未做严格过滤。

📦 **厂商**：TOTOLINK（中国吉翁电子）。 📱 **产品**：A7100RU 无线路由器。 🔢 **版本**：7.4cu.2313_b20191024 及可能更早版本。

👑 **权限**：无需认证（PR:N），直接获取最高权限。 📂 **数据**：可读取/修改系统配置、日志、密钥。 🌐 **影响**：完全接管设备，甚至作为跳板攻击内网。

🚪 **门槛**：极低。 🔑 **认证**：不需要登录（PR:N）。 🌍 **网络**：网络可达即可（AV:N）。 🧠 **复杂度**：低（AC:L），无需用户交互（UI:N）。

📜 **PoC**：GitHub 上有相关利用代码（参考 Litengzheng/vuldb_new）。 🔥 **在野**：暂无明确在野利用报告，但 Exp 已公开。 🔗 **来源**：VDB-356976 提供技术细节。

🔎 **扫描特征**：检测对 `/cgi-bin/cstecgi.cgi` 的 POST 请求。 🧪 **测试点**：构造恶意 `ip` 参数注入命令。 🛠️ **工具**：使用支持 CGI 注入的扫描器或自定义脚本。

🛡️ **官方状态**：数据未提供具体补丁链接。 📅 **发布时间**：2026-04-12 公布。 🔗 **建议**：立即访问 totolink.net 检查固件更新。

🚧 **临时规避**：若无法升级，需限制 CGI 接口访问。 🔒 **措施**：在防火墙中阻断对 `cstecgi.cgi` 的外部访问。 👀 **监控**：加强日志审计，发现异常命令执行告警。

🔥 **优先级**：P0（紧急）。 ⚡ **理由**：CVSS 10.0 + 无认证 + 命令执行 = 必打。 🏃 **行动**：立即隔离设备或升级固件，切勿暴露公网！