Plataforma
tenda
Componente
tenda
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el dispositivo Tenda CH22, específicamente en las versiones 1.0.0 hasta 1.0.0.6(468). Esta falla permite a un atacante acceder a archivos y directorios sensibles en el sistema, comprometiendo la confidencialidad de los datos. La vulnerabilidad reside en la función R7WebsSecurityHandlerfunction del componente httpd. Existe una prueba de concepto pública, lo que aumenta el riesgo de explotación.
La vulnerabilidad de Path Traversal en Tenda CH22 permite a un atacante eludir los controles de seguridad y acceder a archivos arbitrarios en el sistema. Esto podría incluir archivos de configuración, contraseñas, claves de cifrado o incluso código ejecutable. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, modificar la configuración del dispositivo o incluso ejecutar código malicioso en el sistema. La disponibilidad de una prueba de concepto pública facilita la explotación de esta vulnerabilidad, aumentando el riesgo de ataques dirigidos. La falta de autenticación adecuada en la función vulnerable agrava el impacto, permitiendo la explotación remota sin necesidad de credenciales.
La vulnerabilidad CVE-2026-5962 ha sido publicada y una prueba de concepto está disponible públicamente, lo que indica una alta probabilidad de explotación. La disponibilidad de la prueba de concepto facilita la explotación por parte de atacantes con diferentes niveles de habilidad. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza pública de la vulnerabilidad y la disponibilidad de la prueba de concepto sugieren que es un objetivo atractivo para los atacantes.
Home users and small businesses relying on Tenda CH22 routers are at risk. Those with exposed routers on the public internet or those using default configurations are particularly vulnerable. Shared hosting environments utilizing Tenda CH22 routers for network management are also at increased risk.
• linux / server:
journalctl -u httpd | grep -i "path traversal"• generic web:
curl -I http://<router_ip>/../../../../etc/passwd | head -n 1disclosure
poc
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata de la vulnerabilidad CVE-2026-5962 en Tenda CH22 requiere la implementación de medidas de seguridad adicionales. Si la actualización a la versión corregida no está disponible de inmediato, se recomienda implementar reglas de firewall que restrinjan el acceso a la función vulnerable. Además, se deben revisar y fortalecer los controles de acceso al sistema, asegurando que solo los usuarios autorizados tengan acceso a los archivos y directorios sensibles. Monitorear los registros del sistema en busca de patrones de acceso inusuales también puede ayudar a detectar y prevenir ataques. Una vez disponible, actualice el firmware a la versión corregida proporcionada por Tenda.
Actualice el firmware del dispositivo Tenda CH22 a una versión corregida que solucione la vulnerabilidad de path traversal. Consulte el sitio web oficial de Tenda o contacte con el soporte técnico para obtener la última versión del firmware.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5962 is a Path Traversal vulnerability affecting Tenda CH22 routers, allowing attackers to access sensitive files remotely.
If you are using a Tenda CH22 router with firmware versions 1.0.0–1.0.0.6(468), you are potentially affected by this vulnerability.
Upgrade your Tenda CH22 router to the latest firmware version as soon as it's available. Until then, implement WAF rules to restrict file access.
Yes, a public proof-of-concept exists, indicating active exploitation is likely.
Please refer to the Tenda security advisories page for updates and official information regarding CVE-2026-5962.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.