Trendnet TEW-713RE命令注入CVE-2025-15471

TRENDnet TEW-713RE 是一款 N150 无线信号扩展器，采用紧凑的墙插式设计，可直接插入电源插座，不占用额外空间，外壳为米白色。

一、基本情况

TRENDnet TEW-713RE 采用紧凑的墙插式设计，可直接插入电源插座，侧面设有电源开关，底部设计了一个 10/100 Mbps 以太网端口。

TRENDnet TEW-713RE 基于 IEEE 802.11n 技术，同时兼容IEEE 802.11b/g 标准，工作 2.4GHz 频段，最高无线数据传输速率150Mbp。

栋科技漏洞库关注到在TRENDnet TEW-713RE 1.02版本中检测到一个漏洞，漏洞现已被追踪为CVE-2025-15471，CVSS3.X评分为 9.8。

二、漏洞分析

CVE-2025-15471漏洞是存在于TRENDnet TEW-713RE 1.02版本中的漏洞，该漏洞可远程利用，该漏洞利用方法现已公开，可能被利用。

这是一个 Trendnet TEW-713RE中存在的 formFSrvX 存在命令注入漏洞，受影响的元素是文件/goformX/formFSrvX中的一个未知函数。

它是通过固件逆向工程以及前后端交互分析发现的，影响嵌入式Web服务器（goformX管理界面），操纵参数SZCMD可导致命令注入。

该漏洞允许远程未经验证的攻击者通过向/goformX/formFSrvX端点发送精心编制的HTTP请求，以root权限执行任意shell命令。

受影响的接口本应用于内部系统管理操作（如重启设备或应用配置更改），但它向未经身份验证用户暴露一种高度危险命令执行机制。

1、固件逆向工程分析

在分析Trendnet TEW-713RE固件时，提取的文件系统显示在goformX命名空间下存在多个与管理相关的HTML页面和GoForm处理程序。

尽管formFSrvX的后端实现（例如websFormHandlerX）在可用的源代码中并未出现（可能已编译为专有二进制文件），

但其行为可以通过前端逻辑和运行时行为进行可靠推断和确认。

2、前端逻辑不安全（applyReboot.htm）

已识别出以下前端页面：

- applyReboot.htm

- reboot.htm

在applyReboot.htm中，JavaScript代码构建了一个系统管理URL，该URL直接将shell命令嵌入到HTTP参数SZCMD中。

值得注意的是，前端会分配如下值：

- reboot（重新启动）

- kill

- initInternet

- 复合shell命令（例如，sleep 1; kill -9 ...; goahead &）

此设计明确确认后端处理程序通过shell调用（例如system(SZCMD)）直接执行SZCMD的内容，而无需进行任何输入验证。

3、易受攻击的端点（未认证）

/goformX/formFSrvX

此端点无需身份验证即可访问，并接受攻击者控制的参数，包括SZCMD。

请求格式示例：

/goformX/formFSrvX?OP=Reboot&VN=0&SZCMD=<COMMAND>

访问此接口无需会话cookie、身份验证令牌或权限检查。

4、漏洞根本原因分析

（1）根本原因

- 参数SZCMD（字符串命令）旨在携带完整的shell命令，而非受限制的参数。

- 后端直接执行提供的值。

- 在执行命令之前，不进行身份验证检查。

- 未进行输入验证或命令白名单设置。

（2）绕过身份验证方面

此漏洞是设计上的预授权，而非由于缺少条件检查：

- 端点本身在身份验证之前就已经暴露出来。

- 攻击者不需要有效的凭证。

三、POC概念验证

1、我们通过https://github.com/pr0v3rbs/FirmAE模拟来构建测试环境。

我们可以在以下链接下载固件：https://downloads.trendnet.com/TEW-713RE/firmware/

所以我们都有权限访问shell和网站

我们直接发送如下请求

管理员已设置登录后刷新可查看

2、它将在网站上返回“ok”。

3、然后，我们应该耐心等待路由器重启

> 注意：这将耗费大量时间，如果我们不耐烦地关闭终端，将无法成功。因此，这看起来像是一种拒绝服务（DoS）攻击。

等shell回来后，我们就能看到它了！

4、安全影响

- *漏洞类型：预认证远程命令执行

- 是否需要认证：否

- 权限级别：根用户

- 攻击复杂度：低

- 影响：整个设备被攻破

未经身份验证的攻击者可以完全控制设备，启用后门（telnet/ssh），拦截流量，或将设备用作本地网络内的跳板。

5、补救建议

推荐修复方案：

（1）通过HTTP参数执行Shell命令

后端绝不能接受来自HTTP输入的完整shell命令。

（2）严格认证执行

所有系统管理接口都必须要求进行身份验证和授权。

（3）命令白名单

用固定的内部处理程序（例如，reboot()）替换命令执行逻辑。

（4）最小权限原则

Web服务器进程不应以root用户身份运行。

四、影响范围

TRENDnet TEW-713RE 固件

五、修复建议

未知

六、参考链接

管理员已设置登录后刷新可查看