一款路由器的登录框背后,可能藏着一条厂商从没告诉过任何人的“备用门”。CERT/CC在7月6日发布的漏洞通告VU#213560里说,多款Tenda路由器固件的Web管理接口存在一个未文档化的认证后门,追踪编号CVE-2026-11405。攻击者不需要知道管理员密码,也不需要猜对用户名,就能拿到完整的后台控制权。这不是常见的那种“密码太弱被撞库”,而是程序代码里天生留了一条绕开正常账号体系的路。
密码验证失败后,程序悄悄换了一套逻辑
漏洞出在设备Web服务程序/bin/httpd的login()函数里。正常情况下,系统用MD5对密码做校验;但如果这次校验失败,程序不会直接拒绝登录,而是调用GetValue("sys.rzadmin.password"),取出配置里存的另一个密码值,拿用户输入的明文密码跟它做strcmp比对。只要对上了,系统就赋予role=2管理员权限,直接建会话。
更麻烦的是,这条后门路径根本不校验用户名——随便填什么用户名,只要密码对上那个隐藏值,就能登进去。受影响的固件版本包括FH1201、W15E、AC10、AC5、AC6等五个型号的特定版本,都是家用和中小企业场景里常见的设备。
- 风险.拿到管理员权限后,攻击者能改网络配置、关安全功能,进一步渗透整个局域网。
Tenda联系不上,官网固件也说不清是不是修复版
CERT/CC在通告里写得很直白:他们没能联系到Tenda协调这个漏洞,目前没有补丁可用。能给的建议只有两条——关闭远程Web管理、修改默认LAN IP段。前者能挡住外网直接访问后台,后者顶多让批量扫描的机器人少扫到你,对冲着你来的定向攻击没什么用。
值得留意的是,Tenda官网下载页面上挂着的FH1201、AC6、AC5等型号固件版本号,跟通告里列出的受影响版本是一致的。这意味着用户去官网下载“最新版”,未必能躲开这个后门——至少目前没有证据表明官网版本已经修复。这跟大多数人默认“下载最新固件就安全”的直觉是反着来的。
和TP-Link、NETGEAR比,这次门槛更低
同期披露的几起路由器漏洞可以拿来做个参照。TP-Link的CVE-2026-3227是认证后命令注入,攻击者得先拿到有效账号才能触发;TP-Link的CVE-2026-0834限定在邻近网络内,只能做恢复出厂设置这类有限操作;NETGEAR Orbi的CVE-2026-0405虽然是认证绕过,但也要求攻击者先处于本地网络。
对照下来,这几家厂商的漏洞好歹都设了一道门槛——要么先登录过,要么得先蹭上你家Wi-Fi。Tenda这次的后门理论上不需要这些前提,只要设备开着远程管理,攻击者在公网上就能直接摸到这条隐藏通道。
大多数路由器漏洞要你先进门,Tenda这条后门本身就是门。
- 结论.判断这类漏洞的关键不是“能不能绕过认证”,而是“绕过认证需不需要先具备任何前置条件”。
至于这条sys.rzadmin.password逻辑到底是厂商蓄意留的后门,还是调试阶段忘了清理的测试代码,目前没有证据能坐实哪一种。CERT/CC的通告没下这个结论,公开信息里也没找到能证明动机的材料,稿子只能把它当成一个可疑的代码结构去描述,而不是直接扣上“厂商作恶”的帽子。
用户能做的,只有把门先关上
对使用这五款Tenda设备的家庭和中小企业用户来说,眼下最现实的动作是两条:关掉远程Web管理,别让后台暴露在公网上;同时留意Tenda是否会补发固件公告。如果设备承载着重要的内网数据或对外服务,评估一下是否值得先换设备,而不是等一个不确定何时到来的补丁。
CERT/CC联系不上厂商这件事本身也说明一个问题:IoT设备的安全响应链条,很大程度上还得靠厂商愿不愿意搭理。搜索引擎和漏洞库能把CVE挂出来,但补丁什么时候来、来不来,用户说了不算。
