关键信息 基本信息 CVE ID: CVE-2025-56498 标题: OS Command Injection in ping6.asp via pingAddr parameter 厂商: PLDT / Prolink 产品: PLDT WiFi Router (Prolink PGN6401V) 受影响版本: Firmware 8.1.2 (其他版本可能也受影响) 漏洞类型: CWE-78: OS Command Injection 影响: 远程代码执行 (RCE) 与 root 权限 发现者: Jorge Patrick S. Rubio 概述 PLDT WiFi 路由器的 Prolink PGN6401V 固件 8.1.2 的 web 管理界面存在 OS 命令注入漏洞。攻击者可以通过注入任意系统命令来利用此漏洞,这些命令以 root 权限执行。 漏洞细节 受影响组件: ping6.asp 页面和 /boaform/formPing6 表单处理程序 易受攻击参数: pingAddr Web 服务器: Boa/0.93.15 概念验证 (PoC) 认证攻击者可以发送精心设计的 HTTP POST 请求来利用此漏洞。 参考资料 CWE-78: OS Command Injection OWASP: Command Injection PortSwigger Web Security Academy: OS Command Injection