Plateforme
tenda
Composant
tenda-ac6-firmware
La vulnérabilité CVE-2026-4960 est un buffer overflow de type stack-based dans le firmware Tenda AC6. Plus précisément, la fonction fromWizardHandle du fichier /goform/WizardHandle est affectée, via une requête POST malicieuse. L'exploitation réussie peut permettre à un attaquant distant d'exécuter du code arbitraire sur le système affecté. Les versions de firmware Tenda AC6 inférieures ou égales à 15.03.05.16 sont concernées. Il n'existe pas de correctif officiel à ce jour.
Une vulnérabilité critique a été identifiée dans le routeur Tenda AC6, version 15.03.05.16, répertoriée sous le nom de CVE-2026-4960. Cette faille de sécurité se trouve dans la fonction fromWizardHandle du fichier /goform/WizardHandle, concernant plus précisément le traitement des requêtes POST. Un attaquant distant peut exploiter cette vulnérabilité en manipulant l'argument WANT/WANS, ce qui peut entraîner un débordement de tampon sur la pile. La gravité de cette vulnérabilité est élevée (CVSS 8.8), indiquant un risque de sécurité important pour les appareils concernés. La divulgation publique de la vulnérabilité augmente le risque d'exploitation, car les attaquants ont désormais accès à des informations sur la manière de l'exploiter. Cette vulnérabilité pourrait permettre à un attaquant de prendre le contrôle du routeur, de compromettre le réseau auquel il est connecté et d'accéder à des données sensibles.
La vulnérabilité CVE-2026-4960 est exploitée par le biais d'une requête POST malveillante ciblant le fichier /goform/WizardHandle sur le routeur Tenda AC6. L'attaquant manipule l'argument WANT/WANS dans la requête pour déclencher un débordement de tampon sur la pile. La nature distante de la vulnérabilité signifie qu'un attaquant peut l'exploiter depuis n'importe quel endroit du réseau ou même depuis Internet, à condition qu'il ait accès au routeur. La divulgation publique de la vulnérabilité facilite la création et la distribution d'exploits, augmentant le risque d'attaques automatisées. L'absence de correctif officiel rend le routeur particulièrement vulnérable aux attaques.
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe aucun correctif (fix) officiel fourni par Tenda pour CVE-2026-4960. L'atténuation la plus efficace consiste à mettre à jour le micrologiciel du routeur vers une version ultérieure qui corrige cette vulnérabilité, si disponible. En attendant, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que modifier le mot de passe par défaut du routeur en un mot de passe fort et unique, désactiver l'accès distant au routeur si cela n'est pas nécessaire et maintenir le micrologiciel à jour vers la dernière version disponible (bien que cela ne corrige pas CVE-2026-4960, cela peut corriger d'autres vulnérabilités). Surveiller le trafic réseau à la recherche d'une activité suspecte peut également aider à détecter et à prévenir les attaques. Envisagez de remplacer le routeur Tenda AC6 par un modèle plus sécurisé avec un support de mises à jour de sécurité en cours.
Actualice el firmware del router Tenda AC6 a una versión posterior a 15.03.05.16 para corregir la vulnerabilidad de desbordamiento de búfer basada en pila. Consulte el sitio web del proveedor para obtener la última versión del firmware y las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVSS 8.8 indique une vulnérabilité de haute gravité. Un score plus élevé signifie un risque de sécurité plus important.
Si vous avez un routeur Tenda AC6 avec la version du micrologiciel 15.03.05.16, il est probablement affecté.
Mettez en œuvre les mesures d'atténuation recommandées, telles que modifier le mot de passe et désactiver l'accès distant. Envisagez de remplacer le routeur.
Actuellement, il n'existe pas d'outils largement disponibles pour détecter spécifiquement cette vulnérabilité. La surveillance du trafic réseau peut aider à identifier une activité suspecte.
Vous pouvez contacter le support technique de Tenda ou rechercher des informations sur les forums de sécurité et les sites d'actualités de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.