CVE-2026-5687 是 Tenda CX12L 路由器中发现的一个安全漏洞,该漏洞允许攻击者通过栈溢出导致系统崩溃或执行恶意代码。该漏洞影响版本 16.03.53.12 的设备,攻击者可以远程利用该漏洞。目前尚未发布官方修复补丁。
Tenda CX12L 路由器版本 16.03.53.12 中已发现一项关键漏洞,被标记为 CVE-2026-5687。此安全缺陷存在于 /goform/NatStaticSetting 文件的 fromNatStaticSetting 函数中,表现为基于堆栈的缓冲区溢出。该漏洞的严重程度评分为 8.8 CVSS 分数,表明高风险级别。令人担忧的是,此漏洞的利用可以远程启动,这意味着网络上的任何攻击者都可能潜在地利用此漏洞。漏洞利用程序的公开可用性进一步加剧了情况,大大增加了针对易受攻击设备的定向攻击的可能性。Tenda 方面缺乏官方修复程序 (fix: none) 要求用户立即采取行动来降低风险。
CVE-2026-5687 的漏洞利用程序已公开,这使得具有不同技术技能水平的攻击者更容易使用它。该漏洞存在于 /goform/NatStaticSetting 文件的 fromNatStaticSetting 函数中,该函数管理网络地址转换 (NAT) 配置。攻击者可以通过操作发送到此函数的参数来触发缓冲区溢出,从而可能在路由器上执行任意代码。利用的远程性质意味着攻击者不需要访问设备的物理访问权限。漏洞利用程序在 Web 上的可用性大大增加了自动化和定向攻击的风险。建议网络管理员立即采取行动以保护其网络。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
由于 Tenda 尚未为 CVE-2026-5687 提供安全更新 (fix: none),因此缓解选项有限但至关重要。主要建议是将易受攻击的 Tenda CX12L 路由器从公共网络中隔离,如果可能的话。这意味着避免将路由器直接暴露到互联网上。如果路由器对于连接至关重要,建议实施严格的防火墙规则以限制对 fromNatStaticSetting 函数的访问。积极监控网络流量中可疑模式也有助于检测利用尝试。考虑用具有更新安全支持的较新型号替换路由器是更安全的长期解决方案。缺乏官方修复程序强调了维护网络设备清单和定期评估安全风险的重要性。
Actualice el firmware del router Tenda CX12L a una versión corregida. Consulte el sitio web del fabricante o la documentación del producto para obtener instrucciones sobre cómo actualizar el firmware. Esta vulnerabilidad permite la ejecución remota de código, por lo que es crucial aplicar la actualización lo antes posible.
漏洞分析和关键警报直接发送到您的邮箱。
它是 Tenda CX12L 路由器中特定安全漏洞的唯一标识符。
这是一种编程错误,可能允许攻击者在设备上执行恶意代码。
将路由器与互联网隔离,并考虑用更安全的型号替换它。
目前没有可用的更新 (fix: none)。
实施严格的防火墙规则,监控网络流量,并考虑使用更安全的路由器。
CVSS 向量