CVE-2026-5567Tenda M3路由器固件版本1.0.0.10中存在一个高危安全漏洞,该问题位于/goform/setAdvPolicyData接口的Destination Handler组件中。漏洞成因是程序在处理setAdvPolicyData函数的policyType参数时,未能正确验证输入数据的长度,导致缓冲区溢出。由于该组件缺乏足够的输入过滤,未经身份验证的远程攻击者可利用此漏洞发送精心构造的恶意请求。成功利用该漏洞可能导致系统崩溃,或者在目标设备上执行任意代码,从而完全获取设备控制权,对机密性、完整性和可用性造成严重影响。目前相关利用代码已被公开披露。
该漏洞属于典型的基于栈的缓冲区溢出漏洞。在Tenda M3路由器的Web管理服务器中,/goform/setAdvPolicyData接口用于处理高级策略数据的配置。当用户提交设置时,后端CGI程序会调用setAdvPolicyData函数,其中包含对policyType参数的处理逻辑。由于该函数使用了不安全的字符串操作函数(如strcpy)直接复制用户输入的数据到栈上的局部变量缓冲区中,且未对输入长度进行任何校验,导致攻击者可以通过提交超长的policyType值覆盖栈上的返回地址。攻击者通过网络发送特制的HTTP POST数据包即可触发此漏洞。根据CVSS向量(AV:N/AC:L/PR:L/UI:N),攻击复杂度低,且无需用户交互。由于固件通常以root权限运行Web服务,攻击者一旦成功控制返回地址指向恶意代码或系统库中的特定函数,即可获得设备的最高控制权,执行任意系统命令。这种漏洞在物联网设备中极为常见,且往往缺乏ASLR等现代防护机制,使得利用相对容易。