关键信息 漏洞概述 漏洞类型: 命令注入 受影响设备: COMFAST CF-N1 V2 (固件版本 V2.6.0) CVE ID: CVE-2022-9582 影响: 可以执行任意系统命令、读取敏感文件或完全控制设备。 技术细节 易受攻击的函数: 易受攻击的参数: 问题原因: 用户输入的 参数未经验证直接插入到系统命令中,导致命令注入。 利用方式 PoC: 通过发送特定的POST请求,可以在设备上写入测试文件。 示例请求: 验证方法 发送上述POST请求后,访问 文件,确认内容为 "time",证明命令注入成功。 其他信息 厂商: COMFAST 产品网站: http://www.comfast.cn/ 固件下载链接: http://www.comfast.com.cn/index.php?m=content&c=index&a=show&catid=31&id=772 报告者: n0ps1cd (n0ps1cd@gmail.com)