CVE-2026-7054

Descripción de la Vulnerabilidad

CVE-2026-7054 es una vulnerabilidad crítica identificada en el dispositivo Tenda F456 versión 1.0.0.5. La falla afecta la función fromPptpUserAdd del archivo /goform/PPTPDClient del componente httpd. Al manipular los argumentos opttype o username, un atacante puede provocar un buffer overflow, permitiendo la ejecución de código malicioso remoto.

La vulnerabilidad fue publicada el 2026-04-26 y tiene un CVSS Score de 8.8 (ALTO), lo que indica un riesgo significativo para sistemas afectados.

Sistemas Afectados

La vulnerabilidad afecta específicamente el dispositivo Tenda F456 con la versión 1.0.0.5. No se reportan afectaciones en otros modelos o dispositivos relacionados.

Impacto y Explotabilidad

Este tipo de vulnerabilidad permite a un atacante ejecutar código malicioso sin necesidad de autenticación, ya que el exploit está disponible públicamente. La explotación se lleva a cabo mediante la manipulación de parámetros específicos en el componente httpd, lo que podría llevar a la comprometida de sistemas y la instalación de malware.

El alto nivel de severidad (CVSS 8.8) refleja la posibilidad de ataques complejos, incluyendo la toma de control del dispositivo o la divulgación de información sensibles.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La mitigación recomendada incluye aplicar actualizaciones oficiales del fabricante para corregir la vulnerabilidad. Los usuarios deben verificar si existen versiones posteriores de Tenda F456 que resuelvan este problema. En ausencia de información específica sobre parches, se sugiere deshabilitar funcionalidades no necesarias o implementar controles de seguridad adicionales.