CVE-2026-11499 (CVSS 9.8) - A vulnerability was determined in Tenda HG7HG9 and HG10 300001138_en_xpon. This
CVE-2026-11499是Tenda HG7/HG9/HG10路由器中的栈溢出漏洞,CVSS 9.8分,位于formDOMAINBLK函数。远程攻击者可发送特制请求导致拒绝服务或远程代码执行,严重影响设备安全,建议立即更新固件。
CVE-2026-11499 (CVSS 9.8) - A vulnerability was determined in Tenda HG7HG9 and HG10 300001138_en_xpon. This
📋 漏洞概述
Tenda HG7/HG9/HG10路由器formDOMAINBLK函数存在栈溢出漏洞,远程攻击者可导致拒绝服务或任意代码执行。
📋 基础信息
| 受影响版本 | Tenda HG7, HG9, HG10 with firmware 300001138_en_xpon and possibly earlier versions |
| 漏洞类型 | 栈溢出 |
| CVSS | 9.8 · Critical |
| CVE | CVE-2026-11499 |
🔬 漏洞根因
函数formDOMAINBLK在处理用户输入参数blkDomain时,未对输入长度进行有效校验,直接使用sprintf或类似函数将用户提供的数据复制到一个固定大小的栈缓冲区中。当输入超过缓冲区大小时,会覆盖栈上的返回地址和局部变量,从而引发栈溢出。
🎯 攻击场景
1. 攻击者通过网络扫描发现目标Tenda HG7/HG9/HG10路由器的管理Web接口(通常监听在80或443端口)。 2. 攻击者构造一个特制的HTTP POST请求,发送到/boaform/formDOMAINBLK端点,其中blkDomain参数包含超长字符串(例如超过256字节的域名内容)。 3. 路由器Web服务器接收到请求后,调用formDOMAINBLK函数处理该参数,由于缺乏长度检查,超长数据被复制到栈缓冲区,覆盖返回地址。 4. 攻击者在精心构造的payload中嵌入shellcode,覆盖返回地址指向该shellcode所在地址。 5. 函数返回时,CPU跳转到攻击者控制的shellcode,执行任意代码,攻击者获得设备远程控制权。
💥 漏洞影响
远程未经身份验证的攻击者能够通过栈溢出触发拒绝服务(设备重启)或利用精心构造的payload实现远程代码执行,完全控制路由器。可能导致用户数据泄露、内网横向渗透或设备成为僵尸网络节点。
🛡️ 修复建议
1. 官方固件更新:Tenda已发布修复此漏洞的固件版本,请用户立即升级至最新版(具体版本号需查看Tenda官方公告)。 2. 临时缓解措施:如果无法立即升级,建议关闭路由器的远程管理功能(禁用WAN端Web管理访问),并限制LAN侧管理来源IP;同时可启用WAF或IDS规则拦截超长blkDomain参数请求。
📎 参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2026-11499
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-11499
- 原始来源(NVD-Latest)
🚨 威胁评估
| 📈 EPSS 利用概率 | 低 (0.1%) (高于 25.2% 的漏洞) |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 1 个公开 PoC 仓库 |
⚠️ 本文由漏洞情报系统自动生成,仅供安全研究与防御参考。生成时间: 2026-06-09 08:07 | 来源: NVD-Latest
🤖 常见问题解答(FAQ)
❓ 如何检测设备是否受此漏洞影响?
检查设备型号是否为HG7/HG9/HG10,固件版本是否为300001138_en_xpon或更早。此外,可尝试向/boaform/formDOMAINBLK发送长字符串参数,观察设备是否崩溃。
❓ 远程攻击需要绕过身份验证吗?
原始描述未明确说明是否需要认证,但根据同类漏洞(Tenda boaform系列)推断(推测),该接口可能未进行有效的会话验证,因此未经远程攻击者可直接调用,无需身份证明。
❓ 这个漏洞能被用于内网横向移动吗?
可以。一旦攻击者通过漏洞控制路由器,即可利用路由器作为跳板访问内部网络中的其他设备,进行端口扫描、中间人攻击等横向移动操作。