根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: TENDA G103 1.0.0.5 SETTING SYSTEM.LUA ACTION_SET_SYSTEM_SETTINGS LANIP COMMAND INJECTION CVE编号: CVE-2026-5338 (在标题下方和正文中都有提到) CVSS评分: 4.3 (黄色区域显示) 当前利用价格: $0-$5k (紫色区域显示) CTI兴趣分数: 1.08 (绿色区域显示) 摘要 (Summary): 漏洞存在于Tenda G103 1.0.0.5版本中。评级为“critical”(严重)。受影响的组件是Setting Handler中的 函数(位于 文件)。对 参数进行操纵会导致命令注入。该漏洞可被远程利用,且已知存在利用代码(exploit)。 详情 (Details): 再次确认了漏洞位置( 中的 函数)和类型(命令注入)。CWE编号为CWE-77。攻击者可以通过上游组件的外部输入操纵 参数的一部分或全部命令。如果未正确转义特殊字符,可能导致下游组件执行非预期命令。这会影响机密性、完整性和可用性。 2. 影响范围 (Impact/Scope): 受影响产品: Tenda G103 受影响版本: 1.0.0.5 受影响文件: 受影响函数: 受影响参数: 3. 修复方案 (Remediation): 截图中没有明确提供具体的修复补丁或升级版本建议。 提到“Additional levels of successful authentication are needed for exploitation”(需要额外的成功认证级别才能利用),这可能是一个缓解因素,但不是修复方案。 提到“Technical details and a public exploit are known”(已知技术细节和公开利用代码)。 4. POC/Exploit代码: 仔细检查截图,虽然文字提到“there is an exploit available”(有利用代码可用)和“public exploit are known”(已知公开利用代码),但在截图可视范围内并没有显示具体的代码块。 因此,我无法提取代码块。 5. 总结构建: 将上述信息整合成简洁的中文markdown。 注意:虽然摘要里写了“critical”,但CVSS分数是4.3(通常是Medium),这里可能存在数据不一致,但我应如实反映截图内容。截图正文里确实写了“rated as critical”。 最终输出结构: 漏洞标题 CVE编号 漏洞概述 (结合Summary和Details) 影响范围 (产品、版本、文件、函数) 修复方案 (注明未提供具体方案) POC/Exploit (注明未包含在截图中) Let's refine the language to be concise. 标题: TENDA G103 1.0.0.5 Setting System.lua Action_set_system_settings Lanip Command Injection CVE: CVE-2026-5338 概述: 这是一个命令注入漏洞。在Tenda G103 1.0.0.5的 文件中, 函数未正确过滤 参数。攻击者可以通过操纵该参数注入命令。漏洞评级为Critical(尽管CVSS为4.3),可远程利用。 影响: Tenda G103 (v1.0.0.5)。 修复: 截图未提供具体修复方案。 代码: 截图未包含代码。 Wait, looking closer at the bottom text: "The exploitability is told to be easy." and "Additional levels of successful authentication are needed for exploitation." This is a bit contradictory but I will stick to the main facts. Let's write the final response. 漏洞关键信息总结 漏洞标题: TENDA G103 1.0.0.5 Setting System.lua Action_set_system_settings Lanip Command Injection CVE编号: CVE-2026-5338 CVSS评分: 4.3 CWE编号: CWE-77 (OS Command Injection) 漏洞概述: 该漏洞存在于 Tenda G103 路由器的 1.0.0.5 版本中。具体位于 文件中的 函数(Setting Handler 组件)。由于未正确转义或处理 参数中的特殊字符,攻击者可以通过操纵该参数的一部分或全部命令,导致命令注入。该漏洞被评级为“critical”(严重),且已知存在公开利用代码(exploit),可被远程利用。 影响范围: 受影响产品: Tenda G103 受影响版本: 1.0.0.5 受影响文件: 受影响函数: 受影响参数: 修复方案: 截图中未提供具体的修复补丁或升级版本建议。仅提到利用该漏洞可能需要额外的成功认证级别。 POC/Exploit 代码: 截图中未包含具体的 POC 或利用代码块,仅文字说明存在公开利用代码。