关键信息 漏洞概述 漏洞类型: 命令注入 CVE ID: CVE-2022-9584 影响: 可以执行任意系统命令、读取敏感文件或完全控制设备。 目标设备 厂商: COMFAST 产品: COMFAST CF-N1 V2 固件版本: V2.6.0 固件下载链接: http://www.comfast.com.cn/index.php?m=content&c=index&a=show&catid=3&id=772 漏洞细节 端点: 关键代码流: 1. 用户输入通过 解析,提取参数如 和 。 2. 这些参数插入到使用 构建的命令字符串中,可能用于更新界面图像。 3. 构建的命令通过 执行,没有输入验证,允许攻击者注入任意命令。 利用方法 (PoC) 步骤: 1. 使用 Burp Suite 或 curl 发送 POST 请求。 2. 访问 验证注入命令的执行。 注意事项 此漏洞可以与 CVE-2022-6572 结合实现未认证的远程代码执行。 推荐使用物理设备进行环境搭建,因为仅使用 qemu 可能会遇到困难。