关键信息 基本信息 厂商: B-Link 受影响设备类型: 路由器 受影响产品: BL-X26 受影响产品版本: v1.2.8 漏洞概述 B-Link X26路由器v1.2.8版本存在命令执行漏洞。触发此漏洞需要授权,一旦攻击者获得授权,可以通过发送恶意HTTP POST请求触发漏洞。 漏洞细节 当请求路径为 时,会进入 函数的处理逻辑。 两个字段被设置为值: 和 。参数被打包成JSON对象并传递给 函数。 在 函数中,它接收两个JSON格式的对象,并进行判断。如果 值为 ,则跳过某些分支。 最终,命令 被执行,其中 是从 截取的,而 是 的值,即最初传递的命令。 POC (概念验证) 通过上述POC,可以利用该漏洞执行任意命令。