CVE-2025-14993 CVSS 8.8 高危

CVE-2025-14993 Tenda AC18路由器SetDlnaCfg函数栈缓冲区溢出漏洞

披露日期: 2025-12-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14993

漏洞类型

栈缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18 15.03.05.05

漏洞概述

CVE-2025-14993是影响Tenda AC18路由器15.03.05.05版本的严重安全漏洞。该漏洞存在于设备的HTTP请求处理组件中，具体位于/goform/SetDlnaCfg路径下的sprintf函数。由于该函数对用户输入的scanList参数处理不当，未进行充分的边界检查，导致攻击者可以通过构造超长的参数值触发栈缓冲区溢出。成功利用此漏洞可实现远程代码执行（RCE），攻击者能够完全控制受影响的路由器设备。由于该漏洞的利用代码已公开，且CVSS评分高达8.8，具有严重的安全风险。建议用户立即采取防御措施，避免设备遭受攻击。

技术细节

该漏洞为经典的栈缓冲区溢出问题，存在于Tenda AC18路由器的Web管理界面处理模块中。具体来说，当用户通过HTTP请求访问/goform/SetDlnaCfg端点时，设备会调用sprintf函数将scanList参数的值格式化写入栈上的缓冲区。由于sprintf函数不进行边界检查，当传入的scanList参数长度超过缓冲区大小时，就会发生栈溢出。攻击者可以通过发送精心构造的HTTP请求，利用超长的scanList参数覆盖栈上的返回地址和关键寄存器值，最终控制程序执行流程。攻击可远程执行，无需高权限认证，但需要低权限用户身份（如已认证的管理员账户）。该漏洞影响路由器的DLNA配置功能，攻击者可通过此路径获取设备的完全控制权。

攻击链分析

STEP 1

步骤1

攻击者识别目标Tenda AC18路由器，并确认其运行受影响的固件版本15.03.05.05

STEP 2

步骤2

攻击者获取路由器的低权限访问凭证（如管理员账户）或利用其他认证漏洞

STEP 3

步骤3

攻击者构造包含超长scanList参数的恶意HTTP POST请求到/goform/SetDlnaCfg端点

STEP 4

步骤4

路由器处理请求时，sprintf函数将超长参数写入固定大小的栈缓冲区，触发溢出

STEP 5

步骤5

攻击者精心设计的payload覆盖返回地址和寄存器，控制程序执行流程

STEP 6

步骤6

成功利用后，攻击者获得远程代码执行权限，可完全控制路由器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-ip'
payload = 'A' * 1000  # Adjust length to trigger overflow

data = {
    'scanList': payload
}

try:
    response = requests.post(f'{target}/goform/SetDlnaCfg', data=data, timeout=10)
    print(f'Status Code: {response.status_code}')
    print(f'Response: {response.text}')
except requests.exceptions.RequestException as e:
    print(f'Request failed: {e}')

影响范围

Tenda AC18固件版本15.03.05.05

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解风险：1）使用防火墙规则限制对路由器Web管理界面的访问，仅允许可信IP地址；2）定期更换路由器管理员密码，使用强密码策略；3）关闭路由器的远程管理功能，改为仅允许本地网络访问；4）监控网络流量，及时发现异常请求模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表