漏洞名称：同迅科技-神行者路由 / chkid 代码执行漏洞（CVE-2025-54322）

风险等级：

高风险

漏洞描述：

Xspeeder（同迅科技） 是一家中国网络供应商，以路由器、SD-WAN 设备和智能电视控制器等边缘设备闻名。其核心固件SXZOS支持一系列SD-WAN设备，这些设备在偏远的工业和分支环境中尤为普遍。

Xspeeder SXZOS 系统在 2025-12-26 之前的版本中，vLogin.py 接口存在远程代码执行漏洞，攻击者可通过向 chkid 参数提交经过 ba se64 编码的 Python 代码，同时结合 title 和 oIP 参数构造恶意请求，在无需或绕过认证的情况下以 root 权限在服务器上执行任意代码。攻击者可远程以 root 权限执行任意代码，可能导致服务器被完全控制、敏感数据泄露、系统被植入后门，并可作为跳板对内网其他系统发起进一步攻击，安全风险极高。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

FOFA自检语句：

body="您的序列号——正常" || title="神行者路由" || (body="/iplookup/iplookup.php?format=js" && body="/cityjson?ie=utf-8")

受影响版本：

Xspeeder SXZOS 版本：2025-12-26 及之前版本

临时修复方案：

建议立即升级至官方已修复版本；

限制 vLogin.py 接口的外部访问；

对 chkid、title、oIP 等参数进行严格校验与过滤；

加强服务器权限控制和日志监控，并部署必要的安全防护措施。

漏洞检测工具：

鉴于该漏洞影响范围较大，建议优先处置排查，Goby EXP效果如视频演示如下：