Platform
tenda
Component
tenda
Opgelost in
1.0.1
A critical security vulnerability, CVE-2026-6134, has been identified in the Tenda F451 router. This flaw is a stack-based buffer overflow affecting versions 1.0.0 through 1.0.0.7cnsvn7958. Successful exploitation allows remote attackers to manipulate the system, potentially leading to denial of service or even arbitrary code execution. A public exploit is already available, increasing the risk of immediate attacks.
Een kritieke kwetsbaarheid is ontdekt in de Tenda F451 router, versie 1.0.0.7cnsvn7958, geïdentificeerd als CVE-2026-6134. Deze beveiligingsfout bevindt zich in de functie 'fromqossetting' in het bestand '/goform/qossetting' en maakt een stack-based buffer overflow mogelijk. Een externe aanvaller kan deze kwetsbaarheid misbruiken door het argument 'qos' te manipuleren, wat mogelijk kan leiden tot willekeurige code-uitvoering op het apparaat. De kwetsbaarheid heeft een CVSS-score van 8.8, wat een hoog risiconiveau aangeeft. De publieke beschikbaarheid van een exploit vergroot het risico op actieve aanvallen aanzienlijk. Het is cruciaal om onmiddellijk actie te ondernemen om getroffen apparaten te beschermen.
CVE-2026-6134 wordt misbruikt door een kwaadaardig verzoek naar de Tenda F451 router te sturen dat het argument 'qos' binnen de functie 'fromqossetting' manipuleert. Deze manipulatie veroorzaakt een stack-based buffer overflow, waardoor een aanvaller kwaadaardige code kan injecteren. Gezien de publieke beschikbaarheid van de exploit kunnen aanvallers deze gemakkelijk gebruiken om kwetsbare apparaten te compromitteren. De remote aard van de exploitatie betekent dat aanvallers geen fysieke toegang tot de router nodig hebben. De potentiële impact omvat de volledige overname van het apparaat, de diefstal van vertrouwelijke gegevens en het gebruik van de router als springplank om andere systemen in het netwerk aan te vallen.
Small businesses and home users relying on Tenda F451 routers are at risk. Shared hosting environments utilizing these routers as gateway devices are particularly vulnerable, as a compromise of the router could expose multiple tenants to attack. Users with older, unpatched firmware versions are most susceptible.
• linux / server:
journalctl -f -u tenda_qos | grep -i overflow• generic web:
curl -v https://<router_ip>/goform/qossetting?qos=AAAAAAAAAAAAAAAAAAAAAAA | grep -i 'stack overflow'disclosure
poc
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
Momenteel is er geen officiële fix beschikbaar van Tenda voor deze kwetsbaarheid (fix: none). De meest effectieve onmiddellijke mitigatie is om de getroffen router van het netwerk te isoleren, vooral als deze aan het internet wordt blootgesteld. We raden ten zeerste aan contact op te nemen met Tenda om een firmware-update aan te vragen die deze kwetsbaarheid aanpakt. Ondertussen kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals het beperken van de toegang tot de beheerdersinterface van de router en het versterken van wachtwoorden. Het monitoren van het netwerk op verdachte activiteiten is ook essentieel.
Actualice el firmware de su dispositivo Tenda F451 a una versión corregida. Consulte el sitio web oficial de Tenda o la documentación del producto para obtener instrucciones sobre cómo actualizar el firmware. La actualización solucionará la vulnerabilidad de desbordamiento de búfer en la pila.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor deze beveiligingskwetsbaarheid.
Ja, als u versie 1.0.0.7cnsvn7958 gebruikt en geen fix heeft toegepast (die momenteel niet bestaat).
Isoleer de router van het netwerk en neem contact op met Tenda voor updates.
Momenteel is er geen officiële patch beschikbaar van Tenda.
Het is een type kwetsbaarheid dat een aanvaller in staat stelt het geheugen van het apparaat te overschrijven, waardoor mogelijk kwaadaardige code kan worden uitgevoerd.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.