CVE-2026-6195 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TOTOLINK A7100RU 路由器存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：CGI组件 `/cgi-bin/cstecgi.cgi` 中的 `setPasswordCfg` 函数。 ⚠️ **原因**：未对用户输入参数 `admpass` 进行有效过滤。

📦 **厂商**：Totolink (中国吉翁电子)。 📱 **型号**：A7100RU。 🔢 **版本**：7.4cu.2313_b20191024。

👑 **权限**：最高权限（Root/System）。 📊 **数据**：可读取/修改所有配置、密码、日志。 🌐 **影响**：CVSS评分极高 (H/H/H)，机密性、完整性、可用性均受严重威胁。

🚪 **利用门槛**：极低。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

💻 **Exp**：GitHub上有相关利用代码 (参考链接: Litengzheng/vuldb_new)。 🌍 **在野**：数据未明确提及大规模在野利用，但PoC已公开。

🔎 **自查**：检查路由器固件版本是否为 `7.4cu.2313_b20191024`。 📡 **扫描**：针对 `/cgi-bin/cstecgi.cgi` 发送包含恶意字符的 `admpass` 参数请求。

🛡️ **补丁**：数据中未提供官方补丁链接或修复状态。 📅 **披露**：2026-04-13 公布。

⚠️ **规避**：若无法升级，建议 **禁用远程管理** 功能。 🚫 **限制**：仅允许局域网访问管理界面，切断外部攻击路径。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：立即升级固件至最新版本，或采取网络隔离措施。