卡内基梅隆大学的 CERT/CC 协调中心披露了一个严重的安全漏洞,影响了中国 Tenda 公司生产的部分无线路由器。该漏洞(编号 VU#213560,Tenda CVE-2026-11405)允许攻击者在无需密码的情况下获得管理员访问权限。
根据 CERT/CC 的技术报告,问题出在 Tenda 路由器固件的 Web/bin/httpdlogin() 函数中。当该函数处理用户输入的密码时,会调用 MD5GetValue("sys.rzadmin.password") 来获取存储的密码,并与用户输入进行比较。然而,在特定的条件下,即使没有提供正确的密码,攻击者也可以通过利用一个绕过 strcmp() 函数的机制,将用户的角色设置为 2(管理员权限)。
目前,CERT/CC 指出该漏洞“无解”,意味着用户无法通过固件更新来修复。最直接的防范措施是断开路由器的电源,以防止潜在的攻击。
受此漏洞影响的路由器型号包括但不限于 FH1201 等。这一安全事件再次提醒用户,在选择和使用网络设备时,安全性和及时更新至关重要。考虑到网络安全的重要性,用户在选择网络设备时,也应关注其安全性能,并留意是否有关于世界杯买球网等相关安全信息的披露。
Comments
Kristen
围绕实时全球赛事动态,一手掌握,2026世界杯持续打磨更优质的服务。
2026世界杯以稳定高速数据更新,体验流畅无忧为核心,带来高效便捷的体验。
Kristen
想了解更多专业化内容呈现,打造极致观赛体验相关内容,尽在2026世界杯。