CVE-2026-24432CVE-2026-24432是发生在Tenda W30E V2路由器固件中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于V16.01.0.19(5037)及之前版本中,由于管理端点缺少CSRF令牌验证机制,攻击者可以构造恶意HTML页面或链接,诱使已登录的管理员用户访问。当管理员浏览器发起请求时,浏览器会自动携带有效的会话Cookie,导致攻击者能够以管理员身份执行任意管理操作,包括修改管理员密码、变更网络配置、执行系统命令等。此漏洞无需攻击者具备任何预先身份验证,但需要诱导用户点击恶意链接或访问恶意网页。一旦管理员密码被修改,攻击者即可获得设备的完全控制权,可能导致网络被入侵、敏感信息泄露或设备被用于进一步攻击。
Tenda W30E V2路由器的Web管理界面在处理敏感操作(如密码修改、配置变更)时,未实现CSRF token验证机制。攻击者可以利用以下方式利用此漏洞:1) 构造包含表单提交的HTML页面,表单action指向路由器管理端点;2) 表单中包含修改管理员密码所需的参数,如newPassword、confirmPassword等;3) 当已登录的管理员访问该恶意页面时,浏览器自动发送带有有效session的POST请求;4) 路由器服务器端仅验证session有效性,未验证请求来源的合法性,导致攻击成功。典型攻击场景中,攻击者将恶意页面托管在外部服务器,通过钓鱼邮件或社交工程诱导管理员点击。攻击者还可以结合XSS漏洞扩大攻击面,或通过DNS劫持使管理流量指向恶意站点。固件中缺少对Referer和Origin头的验证,也没有使用SameSite Cookie属性,进一步降低了攻击难度。