CVE-2026-6138 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：CGI组件 `/cgi-bin/cstecgi.cgi` 中的 `setAccessDeviceCfg` 函数，对参数 `mac` 处理不当。

📦 **厂商**：TOTOLINK (中国吉翁电子)。 📱 **型号**：A7100RU。 📌 **版本**：7.4cu.2313_b20191024。

👑 **权限**：最高权限（Root/System）。 📊 **数据**：可读取/修改所有配置，窃取网络数据，甚至将设备变为僵尸网络节点。

🚪 **门槛**：极低。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

📂 **PoC**：GitHub 上有相关利用代码 (Litengzheng/vuldb_new)。 🌍 **在野**：暂无明确在野利用报告，但Exp已公开。

🔎 **检测**：扫描目标是否运行 TOTOLINK A7100RU 特定版本。 📡 **流量**：监测对 `/cgi-bin/cstecgi.cgi` 的异常POST请求，特别是包含特殊字符的 `mac` 参数。

🛠️ **补丁**：数据未提供官方补丁链接。 📅 **时间**：2026-04-13 发布，建议立即联系厂商获取固件更新。

🛡️ **规避**：若无法升级，建议 **关闭WAN口管理**。 🚫 **限制**：仅允许内网访问管理界面，阻断外部对CGI接口的直接访问。

🔥 **优先级**：极高 (CVSS 9.8)。 ⚠️ **建议**：立即隔离受影响设备，优先升级固件或实施网络层访问控制。