官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞公告 | Tenda AC系列路由器远程命令执行漏洞:CVE-2020-10987 、CVE-2020-15916
极光无限SZ- 关注
漏洞公告 | Tenda AC系列路由器远程命令执行漏洞:CVE-2020-10987 、CVE-2020-15916
漏洞简介:
腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。
腾达(Tenda) AC 提供Web服务组件中的goform插件存在一个设计缺陷,权限验证不严格,可在未登陆验证的情况下发送特定的数据包成功利用此问题,触发任意命令执行,进而控制路由器设备,Web服务为root权限启动,获取到腾达路由器的最高权限。
风险等级
威胁等级: 高危
影响面: 广
影响等级: 10颗星
漏洞详情
腾达(Tenda)路由器Web服务的goform组件在处理特定请求时,存在一个逻辑判断错误,权限验证不足导致可执行任意命令。
影响范围
包括但不限于以下型号腾达路由器,以及各个型号所有已发布的固件版本都受该漏洞影响,经过验证和分析,该安全问题影响腾达路由器的最新版本固件。
-
AC 6
-
AC 7
-
AC 8
-
AC 9
-
AC 11
-
AC 15
fofa上存活的设备ip数显示至少为10万台左右。
修复建议
请用户实时关注腾达官网的固件更新,及时进行补丁修复。
漏洞演示
本文为 极光无限SZ 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
维阵漏洞播报
极光无限SZ LV.5
苏州极光无限信息技术有限公司
- 34 文章数
- 33 关注者
零基础syzkaller挖掘Linux内核漏洞
2022-02-21
OpenStack 远程代码执行(CVE-2021-40085)分析
2021-11-08
手把手教你 | 极光渗透岗面试真题答案解析
2021-07-19
文章目录