CVE-2025-15076 是 Tenda CH22 设备中发现的一个路径遍历漏洞。该漏洞允许攻击者通过对文件 /public/ 的操作,绕过安全限制,访问未经授权的文件。受影响的版本包括 1.0.0.1。目前已公开可用的利用代码,增加了被攻击的风险。建议尽快采取补丁措施。
该路径遍历漏洞允许攻击者读取服务器上的任意文件,可能包含敏感信息,例如配置文件、用户凭据或内部数据。攻击者可以利用此漏洞获取对设备的控制权,并可能进一步进行横向移动,攻击网络中的其他设备。由于存在公开的利用代码,该漏洞的风险较高,可能导致数据泄露、服务中断和系统被攻陷。攻击者可以通过构造恶意的 HTTP 请求来触发该漏洞,无需身份验证。
该漏洞已公开,存在公开可用的利用代码,表明攻击者可以轻松利用此漏洞。目前尚未观察到大规模的利用活动,但由于漏洞的易用性,攻击风险较高。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Home and small office networks relying on Tenda CH22 routers are particularly at risk. Users with exposed routers or those using default configurations are especially vulnerable. Shared hosting environments utilizing Tenda CH22 devices for network management are also at increased risk.
disclosure
漏洞利用状态
EPSS
0.08% (23% 百分位)
CISA SSVC
由于官方补丁尚未发布,建议采取以下缓解措施:首先,限制对 /public/ 目录的访问,使用防火墙或访问控制列表 (ACL) 阻止未经授权的访问。其次,实施 Web 应用防火墙 (WAF) 规则,检测和阻止路径遍历攻击。第三,监控系统日志,查找可疑活动,例如对 /public/ 目录的异常访问。最后,定期扫描系统,查找已知的漏洞,并及时更新系统补丁。
Actualizar el firmware del router Tenda CH22 a una versión que corrija la vulnerabilidad de path traversal. Consultar el sitio web del fabricante para obtener la última versión del firmware y las instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-15076 是 Tenda CH22 设备中发现的一个路径遍历漏洞,允许攻击者访问未经授权的文件。
如果您正在使用 Tenda CH22 1.0.0.1 版本,则可能受到影响。
由于官方补丁尚未发布,建议采取缓解措施,例如限制对 /public/ 目录的访问和实施 WAF 规则。
已公开可用的利用代码表明攻击者可以轻松利用此漏洞,存在被攻击的风险。
请访问 Tenda 官方网站或安全公告页面,查找有关 CVE-2025-15076 的信息。
CVSS 向量