发布日期：2026-02-07
更新日期：2026-03-30

受影响系统：

Tenda G300-F < 16.01.14.2

描述：

---

CVE(CAN) ID: CVE-2026-25857

Tenda G300-F是一款无线路由器设备，主要用于家庭或小型办公网络环境，提供网络连接管理、WAN诊断等功能。
Tenda G300-F 16.01.14.2及之前版本存在操作系统命令注入漏洞，该漏洞源于设备在构造调用curl的Shell命令时，未对用户提交的输入内容进行充分过滤与转义，直接将输入拼接到命令行中，攻击者可利用该漏洞以管理进程权限在目标设备上执行任意系统命令，获取系统权限或破坏网络运行。

<**>

建议：

---

厂商补丁：

Tenda
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://www.vulncheck.com/advisories/tenda-g300-f-command-injection-via-formsetwandiag

浏览次数：209
严重程度：0（网友投票）