CVE-2026-5152是Tenda CH22 1.0.0.1版本中发现的一个栈溢出漏洞。该漏洞存在于/goform/createFileName文件的formCreateFileName函数中,通过操纵fileNameMit参数可触发。远程攻击者可以利用此漏洞导致栈溢出,从而可能执行恶意代码。受影响的版本为1.0.0.1。目前该漏洞的利用代码已公开,但官方尚未发布补丁。
Tenda CH22路由器版本1.0.0.1中检测到一项关键漏洞,被标识为CVE-2026-5152。此漏洞存在于文件'/goform/createFileName'中的'formCreateFileName'函数中。攻击者可以通过操纵'fileNameMit'参数来利用此缺陷,从而导致堆栈缓冲区溢出。这可能允许在设备上执行任意代码,从而危及其连接网络的安全性。该漏洞的严重程度在CVSS量表上评为8.8,表明存在高风险。攻击的远程可利用性以及漏洞利用程序的公开可用性大大增加了被利用的可能性。
CVE-2026-5152可以远程利用,这意味着攻击者无需对Tenda CH22路由器进行物理访问即可对其进行破坏。该漏洞利用程序已公开可用,这使得各种技术技能水平的攻击者更容易利用它。攻击的重点是操纵'formCreateFileName'函数中的'fileNameMit'参数,从而导致缓冲区溢出。此溢出可用于注入恶意代码并在路由器上执行,从而使攻击者能够控制设备并潜在地访问内部网络。
漏洞利用状态
EPSS
0.08% (23% 百分位)
CISA SSVC
目前,Tenda尚未为此漏洞提供官方修复程序。主要建议是将路由器的固件更新到最新可用版本,尽管尚不清楚此版本是否解决了该漏洞。作为预防措施,建议将路由器与公共网络隔离,限制对管理界面的访问,并监控网络流量是否存在可疑活动。我们强烈建议直接联系Tenda以请求固件更新并获取有关潜在解决方法的信息。由于缺乏官方补丁,因此需要对网络安全采取积极主动的方法。
将 Tenda CH22 设备的固件更新到 1.0.0.1 之后的版本,以修复基于栈的缓冲区溢出漏洞。请查阅制造商的网站以获取最新的固件版本和更新说明。
漏洞分析和关键警报直接发送到您的邮箱。
这是Tenda CH22路由器中此特定漏洞的唯一标识符。
如果您拥有固件版本为1.0.0.1的Tenda CH22,则容易受到攻击。请在路由器的配置中检查固件版本。
将路由器与公共网络隔离,并考虑用更安全的设备替换它。
不,此漏洞仅影响具有指定固件版本的Tenda CH22设备。
请直接联系Tenda的技术支持。
CVSS 向量