Platform
tenda
Component
tenda
Opgelost in
1.0.1
CVE-2026-5962 beschrijft een Path Traversal kwetsbaarheid in de Tenda CH22 router, specifiek in de httpd component. Deze kwetsbaarheid stelt een aanvaller in staat om via een remote exploit toegang te krijgen tot gevoelige bestanden op het systeem. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.0.6(468). Een patch is momenteel beschikbaar.
Deze Path Traversal kwetsbaarheid in de Tenda CH22 maakt het mogelijk voor een aanvaller om willekeurige bestanden op het apparaat te lezen, mogelijk inclusief configuratiebestanden, wachtwoorden en andere gevoelige informatie. Een succesvolle exploit kan leiden tot volledige controle over de router, waardoor de aanvaller het netwerk kan compromitteren en gevoelige gegevens kan stelen. De publicatie van een proof-of-concept maakt de exploitatie verder waarschijnlijk. Dit is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij een aanvaller de bestandsstructuur kan navigeren om toegang te krijgen tot niet-geautoriseerde bronnen.
De kwetsbaarheid is publiekelijk bekend gemaakt en er is een proof-of-concept gepubliceerd, wat de kans op exploitatie aanzienlijk verhoogt. De EPSS score is waarschijnlijk hoog gezien de publicatie van een PoC. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn geen actieve campagnes bekend, maar de openbare beschikbaarheid van de exploit maakt dit een potentieel risico.
Home users and small businesses relying on Tenda CH22 routers are at risk. Those with exposed routers on the public internet or those using default configurations are particularly vulnerable. Shared hosting environments utilizing Tenda CH22 routers for network management are also at increased risk.
• linux / server:
journalctl -u httpd | grep -i "path traversal"• generic web:
curl -I http://<router_ip>/../../../../etc/passwd | head -n 1disclosure
poc
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van de Tenda CH22 firmware naar een beveiligde versie. Controleer de Tenda website voor de meest recente firmware-update. Indien een upgrade niet direct mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de netwerktoegang tot de router via een firewall. Monitor de router logs op verdachte activiteit, zoals ongebruikelijke bestandstoegangspogingen. Implementeer een Web Application Firewall (WAF) om pogingen tot path traversal te detecteren en te blokkeren. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze specifieke kwetsbaarheid, maar algemene path traversal detectie regels kunnen worden toegepast.
Actualice el firmware del dispositivo Tenda CH22 a una versión corregida que solucione la vulnerabilidad de path traversal. Consulte el sitio web oficial de Tenda o contacte con el soporte técnico para obtener la última versión del firmware.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5962 is a Path Traversal vulnerability affecting Tenda CH22 routers, allowing attackers to access sensitive files remotely.
If you are using a Tenda CH22 router with firmware versions 1.0.0–1.0.0.6(468), you are potentially affected by this vulnerability.
Upgrade your Tenda CH22 router to the latest firmware version as soon as it's available. Until then, implement WAF rules to restrict file access.
Yes, a public proof-of-concept exists, indicating active exploitation is likely.
Please refer to the Tenda security advisories page for updates and official information regarding CVE-2026-5962.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.