发布日期：2026-02-07
更新日期：2026-04-07

受影响系统：

Tenda G300-F <= 16.01.14.2

描述：

---

CVE(CAN) ID: CVE-2026-25857

Tenda G300-F是中国腾达（Tenda）公司的一个VPN路由器。
Tenda G300-F 16.01.14.2及之前版本存在操作系统命令注入漏洞，该漏洞源于该实现构建了一个调用curl的shell命令，并将攻击者控制的输入未经充分中和地嵌入到命令行中，远程攻击者可利用该漏洞注入额外的shell语法，并以管理进程的权限在设备上执行任意命令。

<**>

建议：

---

厂商补丁：

Tenda
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://www.vulncheck.com/advisories/tenda-g300-f-command-injection-via-formsetwandiag

浏览次数：53
严重程度：0（网友投票）