CVE-2026-5153Tenda CH22路由器固件版本1.0.0.1存在一处命令注入安全漏洞。漏洞根源在于/goform/WriteFacMac接口处理函数对用户输入的'mac'参数缺乏严格的校验机制。攻击者可利用该缺陷,通过网络向目标设备发送精心构造的恶意请求数据,从而在系统后台执行任意操作系统命令,造成敏感信息泄露或设备完全受控。
该漏洞源于Tenda CH22路由器固件中Web服务器组件对特定HTTP请求处理的逻辑缺陷。具体受影响的函数是位于/goform/WriteFacMac路径下的FormWriteFacMac,该函数主要负责处理MAC地址的配置写入操作。在实现过程中,开发人员未对HTTP POST请求体中的'mac'参数进行有效的边界检查和特殊字符过滤,直接将其拼接到系统调用函数(如system或popen)中执行。这种不安全的编程方式使得攻击者能够通过注入Shell元字符(例如分号、管道符或反引号)来截断原始命令结构,并附加执行任意恶意的操作系统指令。根据CVSS 3.1向量分析,该漏洞利用复杂度低,攻击网络可达,且需要低权限用户级别。一旦攻击成功,可能导致设备机密性、完整性和可用性全面受损,攻击者可借此获取Root权限控制设备。