漏洞概述
近日,安全研究人员发现 Tenda AC23 路由器固件版本 16.03.07.52 中存在一个高危缓冲区溢出漏洞。该漏洞位于 /goform/WifiExtraSet 接口,攻击者可通过操控 wpapsk_crypto 参数触发缓冲区溢出,实现远程代码执行。目前,相关利用代码已在公开平台发布,存在被大规模利用的风险。
漏洞详情
- CVE 编号:CVE-2026-1420
- 漏洞类型:缓冲区溢出(CWE-119 / CWE-120)
- CVSS 评分:CVSS v3.1 评分为 8.8(HIGH),CVSS v4.0 评分为 7.4(HIGH)
- 影响版本:Tenda AC23 固件版本 16.03.07.52
影响范围
该漏洞影响 Tenda AC23 路由器的特定固件版本(16.03.07.52)。由于该设备广泛用于家庭和小型办公网络,若未及时更新固件,可能面临远程攻击风险。
风险分析
攻击者可利用此漏洞在无需用户交互的情况下,通过网络远程发送特制请求,触发缓冲区溢出,从而实现任意代码执行。成功利用后,攻击者可完全控制受影响设备,包括但不限于窃取敏感信息、篡改网络配置、发起中间人攻击或作为跳板进一步渗透内网系统。
修复建议
- 建议用户立即联系 Tenda 官方或访问其官网(https://www.tenda.com.cn/)查询并安装最新的安全固件更新。
- 在官方补丁发布前,建议将设备管理界面限制在本地网络访问,避免暴露于公网;同时关闭不必要的远程管理功能以降低攻击面。
