प्लेटफ़ॉर्म
tenda
घटक
tenda
में ठीक किया गया
1.0.1
CVE-2026-5567 Tenda M3 राउटर में पाया गया एक बफर ओवरफ्लो भेद्यता है। यह भेद्यता Destination Handler घटक के /goform/setAdvPolicyData फ़ंक्शन में मौजूद है, जहाँ policyType तर्क के साथ छेड़छाड़ करने पर बफर ओवरफ्लो हो सकता है। इस भेद्यता का दूर से शोषण किया जा सकता है और इसका प्रभाव सिस्टम अस्थिरता हो सकता है। यह भेद्यता Tenda M3 के संस्करण 1.0.0 से 1.0.0.10 तक के उपकरणों को प्रभावित करती है और वर्तमान में कोई आधिकारिक पैच उपलब्ध नहीं है।
Tenda M3 राउटर के संस्करण 1.0.0.10 में एक गंभीर भेद्यता (vulnerability) पाई गई है, जिसे CVE-2026-5567 के रूप में पहचाना गया है। यह दोष /goform/setAdvPolicyData फ़ाइल के setAdvPolicyData फ़ंक्शन में मौजूद है, विशेष रूप से डेस्टिनेशन हैंडलर घटक में। एक दूरस्थ हमलावर policyType तर्क को हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे बफर ओवरफ्लो हो सकता है। इस भेद्यता को 8.8 के CVSS स्कोर के साथ रेट किया गया है, जो उच्च स्तर की गंभीरता को दर्शाता है। एक शोषण (exploit) की सार्वजनिक उपलब्धता हमलों की संभावना और इस मुद्दे को संबोधित करने की तात्कालिकता को काफी बढ़ा देती है। Tenda से आधिकारिक फिक्स की कमी से स्थिति और खराब हो जाती है, जिससे उपयोगकर्ता संभावित सुरक्षा उल्लंघनों के संपर्क में आ जाते हैं।
CVE-2026-5567 के लिए शोषण का सार्वजनिक प्रकाशन (public release) का मतलब है कि हमलावरों के पास अब Tenda M3 1.0.0.10 राउटर में भेद्यता का फायदा उठाने के लिए आवश्यक उपकरण हैं। यह अनुभवी दुर्भावनापूर्ण अभिनेताओं और कम तकनीकी विशेषज्ञता वाले लोगों दोनों द्वारा लक्षित हमलों के जोखिम को काफी बढ़ाता है। शोषण की दूरस्थ प्रकृति हमलावरों को नेटवर्क एक्सेस के साथ किसी भी स्थान से राउटर को समझौता करने की अनुमति देती है। परिणामस्वरूप बफर ओवरफ्लो हमलावरों को राउटर पर मनमाना कोड निष्पादित करने की अनुमति दे सकता है, जिससे पूरे नेटवर्क की सुरक्षा से समझौता हो सकता है। Tenda से आधिकारिक फिक्स की कमी से स्थिति और भी चिंताजनक हो जाती है, क्योंकि उपयोगकर्ताओं को खुद को बचाने के लिए वैकल्पिक शमन उपायों पर निर्भर रहना पड़ता है।
Small and medium-sized businesses (SMBs) and home users who rely on Tenda M3 routers for their network connectivity are at significant risk. Shared hosting environments that utilize Tenda M3 routers for network management are also particularly vulnerable, as a compromise of one router could potentially impact multiple users. Users with default router configurations or weak passwords are at the highest risk.
• linux / server:
journalctl -u tenda -f | grep -i 'setAdvPolicyData'• generic web:
curl -s -v https://<router_ip>/goform/setAdvPolicyData | grep -i 'policyType'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
चूंकि Tenda ने CVE-2026-5567 के लिए सुरक्षा अपडेट (फिक्स) जारी नहीं किया है, इसलिए शमन (mitigation) विकल्पों की सीमा है। सबसे महत्वपूर्ण सिफारिश Tenda M3 1.0.0.10 राउटर को अक्षम (disable) या अलग (isolate) करना है यदि यह बिल्कुल आवश्यक नहीं है। यदि राउटर की आवश्यकता है, तो सफल शोषण के संभावित प्रभाव को सीमित करने के लिए नेटवर्क सेगमेंटेशन पर विचार करें। संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी करना महत्वपूर्ण है। इसके अतिरिक्त, राउटर तक अनधिकृत पहुंच को अवरुद्ध करने के लिए सख्त फ़ायरवॉल नियमों को लागू करें। अंत में, उपयोगकर्ताओं को इस भेद्यता के संबंध में Tenda से किसी भी भविष्य की घोषणाओं पर नज़र रखनी चाहिए। अनौपचारिक चैनलों (अत्यधिक सावधानी के साथ) के माध्यम से उपलब्ध होने पर अधिक सुरक्षित फर्मवेयर में अपग्रेड करना एक विकल्प हो सकता है, लेकिन इसमें अंतर्निहित जोखिम शामिल हैं।
Actualice el firmware de su dispositivo Tenda M3 a la última versión disponible proporcionada por el fabricante. Consulte el sitio web oficial de Tenda o la documentación del producto para obtener instrucciones sobre cómo actualizar el firmware.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Tenda M3 राउटर में इस सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
यदि कोई कार्रवाई नहीं की जाती है, तो यह दूरस्थ हमलों के प्रति संवेदनशील है।
वर्तमान में कोई आधिकारिक अपडेट उपलब्ध नहीं है।
राउटर को मुख्य नेटवर्क से अलग करें और सख्त फ़ायरवॉल नियम लागू करें।
नेशनल भेद्यता डेटाबेस (NVD) या साइबर सुरक्षा वेबसाइटों जैसे भेद्यता डेटाबेस में खोजें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।