TOTOLINK WA300命令注入漏洞CVE-2026-0641

TOTOLINK WA300 是一款 300M 入墙式 AP，适于酒店、办公室、学校等场所扩展 Wi-Fi 覆盖，采用标准入墙 86 盒规格，便于入墙安装。

一、基本情况

TOTOLINK WA300 配备 1 个 10/100Mbps 自适应 RJ-45 端口，还带 1 个 USB 接口，支持 5V 1A USB 口充电，方便为手机等设备充电。

TOTOLINK WA300 遵循 IEEE 802.11n/IEEE 802.11g/IEEE 802.11b/IEEE 802.3/IEEE 802.3u/IEEE 802.3x，最高传输速率可达 300Mbps。

TOTOLINK WA300 支持 64/128 位 WEP 有线等效加密、WPA/WPA2 高级安全加密、无线客户 MAC 地址认证及 WPS，保障网络安全。

栋科技漏洞库关注到 TOTOLINK WA300 5.2cu.7112_B20190227中的安全漏洞，漏洞被追踪为CVE-2026-0641，漏洞CVSS 4.0评分 5.3。

二、漏洞分析

CVE-2026-0641漏洞是 TOTOLINK WA300 5.2cu.7112_B20190227中存在的安全漏洞，该漏洞影响文件cstecgi.cgi中的sub_401510功能。

具体来说这是个命令注入漏洞。该问题该漏洞位于/cgi-bin/cstecgi.cgi CGI二进制文件中，该文件负责处理多种网络管理操作。

在处理包含action=upload参数的HTTP请求时，CGI程序会从CGI环境变量中检索受用户影响的数据，

包括UPLOAD_FILENAME和CONTENT_LENGTH，这些值来源于HTTP上传请求，且未经过适当的验证或净化处理。

在处理请求时，使用sprintf函数将UPLOAD_FILENAME的值直接嵌入到shell命令中。随后，通过调用system()来执行构造的命令。

由于UPLOAD_FILENAME变量完全由远程客户端控制，并且在命令执行前不进行任何验证或转义，

因此，未经身份验证的攻击者可影响系统执行的shell命令，这种行为会导致命令注入漏洞，从而导致在Web服务的上下文中执行任意命令。

这是sub_401510()函数，它没有执行任何验证或转义操作。

该漏洞的根本原因在于使用不受信任的输入进行不安全的构造和执行shell命令。

具体来说，CGI程序直接从CGI环境中检索UPLOAD_FILENAME值，而不进行任何验证。

该值使用sprintf函数拼接到一个shell命令中，而该函数不会执行边界检查或转义，生成的命令字符串将通过system()函数执行。

此设计将不受信任的外部输入与shell命令执行相结合，违反了安全编码规范。

缺乏输入验证、净化或使用更安全的文件处理API，直接导致了命令注入漏洞。

通过向设备的Web管理界面发送标准HTTP请求，可以访问到该易受攻击的代码路径。

关键可达性特征包括：

在处理包含action=upload参数的请求时，会触发易受攻击的逻辑。

访问受影响的代码路径无需进行身份验证。

在正常的请求处理过程中，在任何后端服务交互之前，都会执行易受攻击的代码。

后端通信失败并不会阻止易受攻击的功能被执行。

因此，在真实设备的正常运行条件下，远程未经身份验证的攻击者可以访问易受攻击的代码路径。

操纵参数UPLOAD_FILENAME会导致命令注入，cstecgi.cgi中的TOTOLINK WA300 RCE攻击可能远程发起，且该漏洞已被公开披露。

三、POC概念验证

该漏洞可通过非侵入式副作用测试进行验证。

在发送请求之前，会在工作目录中创建一个无害的测试文件。

触发易受攻击的上传处理程序后，测试文件会被删除，从而确认系统命令是使用受攻击者影响的输入执行的。

下图展示了验证过程。

[/lv]

echo hahaha > just_a_test_name 
ls -l just_a_test_name
QUERY_STRING="action=upload" CONTENT_LENGTH=100 UPLOAD_FILENAME="just_a_test_name" \
qemu-mips -L . ./web_cste/cgi-bin/cstecgi.cgi
ls -l just_a_test_name   

[/lv]

四、影响范围

TOTOLINK WA300_固件 V5.2cu.7112_B20190227

五、修复建议解

建议您更新当前系统或软件至最新版，完成漏洞的修复。

六、参考链接

管理员已设置登录后刷新可查看