CVE-2025-15048CVE-2025-15048是Tenda WH450路由器1.0.0.18版本中存在的一个高危命令注入漏洞。该漏洞位于HTTP请求处理组件的/goform/CheckTools文件中,攻击者可以通过操纵ipaddress参数实现远程命令执行。由于该漏洞可通过网络远程利用且无需认证,因此具有极高的安全风险。攻击者可以利用此漏洞完全控制受影响设备,执行任意系统命令,窃取敏感数据或将其作为进一步攻击的跳板。该漏洞已在公开渠道披露,相关信息已被广泛传播,建议用户立即采取修复措施。
该漏洞为典型的命令注入(Command Injection)问题,存在于Tenda WH450路由器固件1.0.0.18版本的Web管理接口中。具体位置在处理HTTP请求的/goform/CheckTools端点,该端点用于网络工具检查功能。漏洞源于对用户输入的ipaddress参数缺乏有效的输入验证和安全过滤,攻击者可以在该参数中注入操作系统命令分隔符(如分号、管道符等)和恶意命令。由于Web服务以高权限运行,注入的命令将在设备上以root权限执行,成功利用后可获得设备的完全控制权。攻击者通常通过构造特定的HTTP POST请求,将恶意命令附加在ipaddress参数值中,实现任意系统命令的执行。