漏洞概述 FiberHome ONU GPON AN5506 存在一个操作系统命令注入漏洞(CVE-2021-42912)。该漏洞允许攻击者在登录后,通过 ping 诊断工具,绕过 IP 地址字段,使用分号连接操作系统命令,以 root 用户身份向操作系统发送命令。 影响范围 受影响的设备型号和软件版本如下: AN5506-01-A: RP2569 AN5506-01-B: RP2510 AN5506-02-B: RP2520 AN5506-02-B: RP2521 AN5506-02-B: RP2603 AN5506-04-B: RP2510 AN5506-04-F: RP2617 AN5506-04-G2G: RP2560 修复方案 目前尚未提供具体的修复方案。 POC代码 其他信息 漏洞发现者:Windsor Moreira 发布日期:2021年12月16日 参考链接: - PortSwigger Web Security - CVE-2021-42912 - NVD CVE-2021-42912 备注 漏洞发现者于2021年10月21日通过电子邮件联系厂商,但至今未收到回复。