Edimax BR-6208AC L2TP 命令注入CVE-2026-7682

Edimax p-6208AC是一款由 EDIMAX（爱迪麦斯）2014 年推出的入门级双频家用路由器，支持 802.11ac，主打2.4G+5G 双频并发。

一、基本情况

Edimax p-6208AC是一款AC750双频无线路由器设备，该路由器支持多功能模式、实惠价格，适合中小户型基础上网与高清流媒体。

Edimax p-6208AC 是一款经典入门级 AC 双频路由，在 2015–2018 年时性价比突出，如今仅适合百兆宽带、中小户型、基础用途。

栋科技漏洞库关注到 Edimax p-6208AC 固件版本 V2 1.02中的L2TP 命令注入漏洞，现追踪为CVE-2026-7682，CVSS 3.1评分6.3。

二、漏洞分析

CVE-2026-7682是位于Edimax p-6208AC相关版本L2TPUserName命令注入漏洞，影响 boa Web 服务器 IQ 设置处理程序 setWAN。

具体来说，漏洞位于Edimax p-6208AC V2 1.02 设备 IQ 设置模块 setWAN 处理接口，通过 L2TPUserName 参数可以导致命令注入。

受影响版本中，/goform/setWAN 文件中的 setWAN 函数在处理 L2TP 模式下的 L2TPUserName 参数时，

未对用户输入进行命令过滤直接将参数值拼接至系统命令执行，导致攻击者可通过构造恶意 L2TPUserName 实现命令注入。

即在 L2TP 网络模式下，该处理程序会将攻击者可控 L2TPUserName 参数直接拼接到系统 Shell 命令中，并通过 system() 函数执行。

该设备防护逻辑仅尝试拦截分号（;）类型的攻击载荷，其他Shell命令执行特性均未被限制，攻击者可借此在设备上执行任意系统命令。

1、在 setWAN() 函数内部，L2TP 分支对用户名参数的处理逻辑如下：

strcpy(tmpstr1, websGetVar(wp, T("L2TPUserName"), T("")));
for(i=0; i<strlen(tmpstr1); i++)
{
if (tmpstr1[i] == 59)
{
tmpstr1[i] = '\0';
peak;
}
}
sprintf(tmpBuf, "echo %s > /tmp/UserName", tmpstr1);
system(tmpBuf);

2、由于用户名会被直接插入到未加引号的 Shell 命令中，因此仅仅过滤分号 ; 根本无法防御以下这类攻击载荷：

$(...) 命令替换

反引号 `...`

管道符 |

逻辑与 &&

嵌入换行符

这使得 L2TPUserName 成为一个外部可控的命令注入攻击向量。

攻击者可以通过网页表单提交的方式，直接访问该漏洞处理接口：

websFormDefine(T("setWAN"), setWAN);

IQ 设置的认证机制进一步表明：设备处于默认出厂状态时，该接口可在强制登录校验前直接访问。

3、漏洞影响

可通过 Web 接口实现远程命令执行；设备首次初始化配置阶段，支持未授权利用；以 Web 服务进程权限完全控制设备

4、受影响版本

影响搭载存在漏洞的 _IQv2_ 模块 setWAN 实现的 Edimax p-6208AC V2 1.02 固件版本，漏洞代码收录于官方开源 GPL 源码包中。

三、POC概念验证

（一）复现步骤

1、将设备置于 IQ 配置模式或恢复出厂初始化状态。

2、向 /goform/setWAN 发送 POST 请求。

3、传入 wanMode=6 指定 L2TP 拨号模式。

4、构造恶意 L2TPUserName 载荷，规避分号过滤，利用 Shell 特殊符号执行命令。

5、观察目标设备，验证命令已成功执行。

（二）POC代码

管理员已设置登录后刷新可查看

（三）预期结果

1、注入的恶意命令将由路由器执行。

2、设备内会生成可验证的特征文件，例如 /tmp/p6208ac_l2tp_pwned。

（四）修复建议

修复该漏洞可采取以下措施：

1、在用户名处理逻辑中移除 system() 系统调用。

2、改用直接文件写入方式，替代 Shell 命令拼接执行。

3、对用户名参数实施严格的白名单校验。

4、限制 IQ 配置相关接口，禁止在未认证状态下直接访问。

四、影响范围

Edimax p-6208AC V2 1.02

五、修复建议

扔了换新的

六、参考链接

管理员已设置登录后刷新可查看