欢迎光临
我们一直在努力

Tenda AC系列路由器远程命令执行0day漏洞:CVE-2020-10987 & CVE-2020-15916

 

一、漏洞简介:

腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。

腾达(Tenda) AC提供Web服务组件中的goform插件存在一个设计缺陷,权限验证不严格,可在未登陆验证的情况下发送特定的数据包成功利用此问题,触发任意命令执行,进而控制路由器设备,Web服务为root权限启动,获取到腾达路由器的最高权限。

 

二、风险等级

威胁等级: 高危

影响面: 广

影响等级: 10颗星

 

三、漏洞详情

腾达(Tenda)路由器Web服务的goform组件在处理特定请求时,存在一个逻辑判断错误,权限验证不足导致可执行任意命令。

 

四、影响范围

包括但不限于以下型号腾达路由器,以及各个型号所有已发布的固件版本都受该漏洞影响,经过验证和分析,该安全问题影响腾达路由器的最新版本固件。
AC 6
AC 7
AC 8
AC 9
AC 11
AC 15

fofa上存活的设备ip数显示至少为10万台左右

 

五、修复建议

请用户实时关注腾达官网的固件更新,及时进行补丁修复。

 

六、漏洞演示:

https://www.bilibili.com/video/BV1D541187Vc/

赞(0) 打赏
未经允许不得转载:中国宏阔黑客联盟|白帽黑客|网络渗透技术|网站安全|移动安全|通信安全 » Tenda AC系列路由器远程命令执行0day漏洞:CVE-2020-10987 & CVE-2020-15916
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏