HIGHCVE-2026-6120CVSS 8.8

Tenda F451 httpd DhcpListClient fromDhcpListClient 堆栈缓冲区溢出

平台

tenda

组件

tenda

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

Tenda F451 路由器存在一个远程可利用的栈溢出漏洞。该漏洞位于固件版本 1.0.0 到 1.0.0.7 之间的 /goform/DhcpListClient 文件的 fromDhcpListClient 函数中。攻击者可以通过操纵 'page' 参数触发此漏洞，导致栈溢出，并可能执行任意代码。由于漏洞利用代码已公开，因此存在严重的安全风险。

影响与攻击场景

在Tenda F451路由器版本1.0.0.7中检测到一项关键漏洞，已识别为CVE-2026-6120。该漏洞位于httpd组件的/goform/DhcpListClient文件的fromDhcpListClient函数中，CVSS评分达到8.8（高）。对page参数的操纵可能导致堆栈缓冲区溢出。这可能允许远程攻击者在设备上执行任意代码，从而可能破坏其连接的网络。由于漏洞利用程序现已公开，因此该漏洞的严重程度加剧，攻击者可以积极利用它。Tenda没有提供官方修复程序是一个重大的问题，需要立即采取预防措施。

利用背景

CVE-2026-6120的漏洞利用程序现在已公开，这意味着攻击者无需高级技术技能即可利用Tenda F451设备上的漏洞。利用的远程性质意味着攻击者可以从任何具有网络访问权限的位置尝试破坏设备。fromDhcpListClient函数可通过路由器的Web界面访问，从而简化了攻击。对page输入的验证不足允许攻击者发送恶意数据，从而覆盖堆栈内存，导致任意代码执行。通过Web公开此漏洞使其成为自动化攻击者和漏洞扫描器的有吸引力的目标。

哪些人处于风险中翻译中…

Small businesses and home users who rely on Tenda F451 routers are particularly at risk. Shared hosting environments that utilize these routers to manage network connectivity are also vulnerable. Users with legacy configurations or those who have not updated their router firmware in a long time are at higher risk of exploitation.

检测步骤翻译中…

• linux / server:

journalctl -u httpd | grep -i "fromDhcpListClient"

• linux / server:

ps aux | grep -i "/goform/DhcpListClient"

• generic web: Use curl to test the /goform/DhcpListClient endpoint with various, unusually long 'page' parameters to observe any errors or crashes.

攻击时间线

2026-04-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件tenda

供应商Tenda

影响范围修复版本

1.0.0.7 – 1.0.0.71.0.1

弱点分类 (CWE)

CWE-121 CWE-119

时间线

已保留2026-04-11
发布日期2026-04-12
修改日期2026-04-13
EPSS 更新日期2026-04-19

未修复 — 披露已42天

缓解措施和替代方案

由于Tenda尚未为CVE-2026-6120提供修复程序，因此缓解措施侧重于替代措施。主要建议是，如果不是绝对必要的，请在Tenda F451路由器上禁用DHCP服务器。如果需要DHCP服务器，请考虑对网络进行分段，以限制潜在的利用影响。监控网络流量以查找可疑活动至关重要。强烈建议联系Tenda支持以请求固件更新并强调情况的紧急性。实施防火墙和入侵检测系统可以提供额外的保护层。升级到其他制造商的路由器是一个长期解决方案。

修复方法翻译中…

Actualice el firmware del dispositivo Tenda F451 a una versión corregida por el fabricante. Consulte el sitio web oficial de Tenda o la documentación del producto para obtener instrucciones sobre cómo actualizar el firmware.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-6120 是什么 — Tenda F451 中的 Buffer Overflow？

堆栈缓冲区溢出发生在程序尝试将比缓冲区能容纳的更多数据写入内存中的缓冲区时，从而覆盖堆栈上的相邻数据。这可能允许攻击者注入并执行恶意代码。

Tenda F451 中的 CVE-2026-6120 是否会影响我？

如果您拥有固件版本为1.0.0.7的Tenda F451路由器，则该路由器容易受到攻击。请在路由器的管理界面中检查您的固件版本。

如何修复 Tenda F451 中的 CVE-2026-6120？

如果您需要DHCP服务器，请考虑对网络进行分段，以限制潜在的利用影响。实施防火墙和入侵检测系统。

CVE-2026-6120 是否正在被积极利用？

目前没有官方的修复程序可用。请联系Tenda支持并表达您的担忧，以鼓励发布固件更新。

在哪里可以找到 Tenda F451 关于 CVE-2026-6120 的官方安全通告？

鉴于漏洞利用程序的公开可用性和缺乏修复程序，强烈建议采取缓解措施或考虑升级到更安全的路由器。