CVE-2026-9428Tenda F1202路由器(固件版本1.2.0.20(408))的/goform/PPTPUserSetting接口存在严重安全漏洞。该漏洞源于fromPPTPUserSetting函数对delno参数缺乏有效长度过滤,导致基于栈的缓冲区溢出。未经身份验证的远程攻击者可利用此漏洞构造恶意数据包,触发溢出并执行任意代码,从而完全控制设备,目前相关利用代码已在公开渠道披露。
该漏洞的根源在于Tenda F1202路由器固件代码中的C语言函数fromPPTPUserSetting存在不安全的内存操作。在处理用户提交的PPTP设置删除请求时,程序直接使用了不安全的字符串拷贝函数(如strcpy),将HTTP POST参数delno的值复制到栈上的局部缓冲区中,且完全未对输入数据的长度进行校验。攻击者可以发送包含超长字符串的delno参数,导致数据溢出缓冲区边界,进而覆盖函数的返回地址。由于该漏洞攻击复杂度低且无需用户交互,攻击者可通过精心构造的Payload覆盖返回地址并指向注入的Shellcode,从而劫持程序执行流,最终在目标系统上实现远程代码执行,获取设备的Root级控制权限。