平台
tenda
组件
tenda
修复版本
1.0.1
CVE-2026-6124 是 Tenda F451 设备中发现的一个安全漏洞,具体影响到版本 1.0.0 至 1.0.0.7。该漏洞源于 /goform/SafeMacFilter 文件的 fromSafeMacFilter 函数在处理 page/menufacturer 参数时存在栈缓冲区溢出的问题。远程攻击者可以通过精心构造的请求利用此漏洞,可能导致设备崩溃或更严重的后果。目前尚未发布官方补丁。
Tenda F451 路由器版本 1.0.0.7 (CVE-2026-6124) 存在堆栈缓冲区溢出漏洞。该漏洞位于 /goform/SafeMacFilter 文件的 fromSafeMacFilter 函数中,具体位于 httpd 组件。攻击者可以通过操纵 page/menufacturer 参数来利用此漏洞,可能导致设备上执行任意代码。该漏洞在 CVSS 评分系统中被评为 8.8,表明风险较高。漏洞利用程序的公开披露增加了主动利用的可能性。Tenda 未提供官方修复程序,因此必须立即采取预防措施来保护受影响的设备。
CVE-2026-6124 通过操纵发送到 Tenda F451 路由器的 page/menufacturer 参数来利用。攻击者可以发送专门设计的 HTTP 请求,以在 fromSafeMacFilter 函数中的堆栈缓冲区中发生溢出。此漏洞的远程性质意味着攻击者不需要对设备进行物理访问。漏洞利用程序的公开披露使攻击复制更容易,从而大大增加了使用 F451 路由器的用户的风险。在处理这些参数方面的不充分的身份验证是此漏洞的根本原因。
Small and medium-sized businesses (SMBs) and home users who rely on Tenda F451 routers are at risk. Shared hosting environments where multiple users share the same router infrastructure are particularly vulnerable, as a compromise of one router could potentially impact all users. Legacy configurations with default passwords or outdated firmware are also at increased risk.
• linux / server:
journalctl -u httpd | grep -i 'SafeMacFilter'• linux / server:
lsof -i :80 | grep tenda• generic web:
curl -I http://<router_ip>/goform/SafeMacFilter | grep 'Server: Apache'disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
由于 Tenda 尚未为 CVE-2026-6124 提供官方补丁,因此强烈建议实施替代缓解措施。最有效的解决方案是如果可用,则更新到较新的固件版本(尽管尚未宣布)。作为临时解决方法,请考虑网络隔离,以将 F451 路由器与关键资源隔离开。建议审查并加强防火墙规则,以限制对路由器的外部访问。积极监控路由器日志以查找可疑活动至关重要。最后,暂时禁用 MAC 过滤功能,尽管这会损害网络安全,但可以减少利用风险,直到实施更持久的解决方案为止。
Actualice el firmware del dispositivo Tenda F451 a una versión corregida por el fabricante. Consulte el sitio web oficial de Tenda o la documentación del producto para obtener instrucciones sobre cómo actualizar el firmware.
漏洞分析和关键警报直接发送到您的邮箱。
这是一个用于此安全漏洞的唯一标识符。
截至今天,Tenda 尚未发布官方更新。请查看他们的网站以获取更新。
这是一种漏洞类型,当程序尝试在分配在堆栈内存中的缓冲区边界之外写入数据时发生,这可能会导致恶意代码执行。
如果您使用的是固件版本 1.0.0.7 的 Tenda F451,则容易受到攻击。
实施建议的缓解措施,例如网络隔离和加强防火墙。
CVSS 向量