关键信息 信息 CVE编号: CVE-2025-7614 厂商: TOTOLINK 受影响产品: T6 受影响固件版本: V4.1.5cu.748_BZ0211015 固件下载地址: Download Page 概述 TOTOLINK Mesh WiFi T6 路由器存在命令注入漏洞。该漏洞可以通过 触发。攻击者可以通过发送恶意的 HTTP POST 请求来实施远程代码执行(RCE)攻击。 漏洞细节 相关代码: - 函数处理请求中的 参数,并将其传递给 函数进行进一步处理。 - 在 函数中,如果可以控制 参数,则可以注入代码到 中调用 函数执行系统命令。 POC (概念验证) 致谢 Reiser_1943 帮助设置设备并找到 root 账户的登录信息。