Hunt-Benito/glinet-beryl-ax-triple-rce-cve-2026-11450-11451-11452-unauthenticated-root-on-travel-router

# GL.iNet Beryl AX 三重 RCE PoC 针对 GL.iNet GL-MT3000 (Beryl AX) 旅行路由器固件 (<= 4.4.5) 中三个未经身份验证的命令注入漏洞 (CVE-2026-11450, CVE-2026-11451, CVE-2026-11452) 的 PoC。 完整分析报告：https://www.hunt-benito.com/glinet-beryl-ax-triple-rce-cve-2026-11450-11451-11452-unauthenticated-root-on-travel-router/ ## 漏洞 | CVE | CVSS | 技术 | |-----|------|-----------| | CVE-2026-11450 | 7.3 | 缓冲区大小不匹配 (0x40 vs 0x100) 绕过了 `access()` 检查，通过 `system()` 注入 `$()` | | CVE-2026-11451 | 7.3 | FTP `media_dir` 参数中的单引号转义破坏了 shell 引号 | | CVE-2026-11452 | 7.3 | 双引号 `printf` 中 Samba 密码参数的 `$()` 命令替换 | 这三个漏洞都利用了未经身份验证的 `/cgi-bin/glc` CGI 调度器，该调度器通过 `dlopen`/`dlsym` 加载插件，且没有身份验证或方法白名单。 ## 用法 ``` # 利用所有三个 CVE python3 poc.py http://192.168.8.1 # 利用特定 CVE python3 poc.py http://192.168.8.1 -c "id" -v 11450 python3 poc.py https://192.168.8.1 -c "id" -v 11451 python3 poc.py https://192.168.8.1 -c "id" -v 11452 # 自定义 command 和 output 文件 python3 poc.py http://192.168.8.1 -c "cat /etc/shadow" -o /tmp/pwned ``` ## 环境要求 - Python 3.6+ - 可访问路由器 LAN IP 的网络权限（默认：192.168.8.1） - 无需任何凭据 ## 受影响版本 - GL.iNet GL-MT3000 固件 <= 4.4.5 - 在固件 4.7 (CVE-2026-11450) 和 4.8.1 (CVE-2026-11451, CVE-2026-11452) 中已修复 ## 免责声明 仅供教育和授权的安全研究使用。请勿对您不拥有或未获得明确测试许可的系统使用。

标签：CISA项目, Go语言工具, PoC, 命令注入, 安全, 暴力破解, 超时处理, 路由器安全, 逆向工具