Plataforma
tenda
Componente
tenda
Corrigido em
1.0.1
CVE-2026-6123 describes a critical vulnerability affecting the Tenda F451 router. This flaw, a stack-based buffer overflow, resides within the fromAddressNat function accessible via the /goform/addressNat endpoint. Successful exploitation allows for remote code execution, potentially granting an attacker complete control over the device. This vulnerability impacts Tenda F451 versions 1.0.0 through 1.0.0.7, and a public exploit is already available.
Uma vulnerabilidade crítica (CVE-2026-6123) foi identificada no roteador Tenda F451, versão 1.0.0.7. Esta falha, classificada com um CVSS de 8.8, reside na função fromAddressNat do arquivo /goform/addressNat dentro do componente httpd. Um atacante remoto pode explorar esta vulnerabilidade manipulando o argumento entrys, resultando em um estouro de buffer na pilha. A gravidade desta vulnerabilidade reside na sua facilidade de exploração e na possibilidade de execução remota de código, o que pode permitir que um atacante comprometa completamente o dispositivo e a rede a que está conectado. A falta de uma correção oficial da Tenda agrava a situação, exigindo medidas de mitigação alternativas.
A vulnerabilidade CVE-2026-6123 foi divulgada publicamente, o que significa que o código de exploração está disponível. Isso aumenta significativamente o risco de ataques, pois os atacantes podem utilizar informações públicas para explorar o roteador Tenda F451. A natureza do estouro de buffer permite que um atacante injete potencialmente código malicioso na memória do dispositivo, o que pode resultar na tomada de controle do roteador. A falta de autenticação robusta na função fromAddressNat facilita a exploração, pois um atacante pode enviar solicitações manipuladas sem a necessidade de credenciais. A exposição pública da vulnerabilidade exige ação imediata para proteger os sistemas afetados.
Small businesses and home users relying on Tenda F451 routers are at risk, particularly those with exposed routers or weak network security practices. Shared hosting environments utilizing Tenda F451 routers as gateway devices are also vulnerable, as a compromise could affect multiple tenants.
• linux / server:
journalctl -u tenda-f451 | grep -i 'fromAddressNat'• generic web:
curl -I http://<router_ip>/goform/addressNatCheck for unusual HTTP status codes or error messages related to the endpoint. • linux / server:
ps aux | grep tenda-f451Monitor for unexpected processes or resource consumption related to the router.
disclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Dado que a Tenda não forneceu uma atualização de segurança para corrigir CVE-2026-6123, as opções de mitigação são limitadas a medidas preventivas. Recomenda-se fortemente segmentar a rede para isolar o Tenda F451 de recursos críticos. Desabilitar o acesso remoto ao roteador é uma etapa crucial. Monitorar o tráfego de rede em busca de atividades suspeitas pode ajudar a detectar tentativas de exploração. Considerar a substituição do dispositivo por um modelo mais recente com suporte de segurança ativo é a solução mais segura a longo prazo. A implementação de um firewall robusto pode fornecer uma camada adicional de proteção, embora não elimine completamente o risco.
Actualice el firmware del dispositivo Tenda F451 a una versión corregida por el fabricante. Consulte el sitio web oficial de Tenda o la documentación del producto para obtener instrucciones de actualización y la versión más reciente del firmware.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para esta vulnerabilidade de segurança no roteador Tenda F451.
Permite que um atacante remoto assuma o controle do roteador, comprometendo potencialmente toda a rede.
Não, atualmente não há uma atualização disponível para corrigir esta vulnerabilidade.
Implemente as medidas de mitigação recomendadas, como segmentar a rede e desabilitar o acesso remoto.
Sim, substituir o roteador por um modelo mais seguro com suporte de segurança ativo é a solução mais recomendada a longo prazo.
Vetor CVSS
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.