📄 Description (English)
A vulnerability was detected in Tenda AC21 16.03.08.16. Impacted is the function formSetQosBand of the file /goform/SetNetControlList. Performing a manipulation of the argument list results in buffer overflow. The attack can be initiated remotely. The exploit is now public and may be used.
🤖 AI Executive Summary
A critical buffer overflow vulnerability exists in Tenda AC21 router firmware version 16.03.08.16 affecting the QoS bandwidth control function. The vulnerability allows remote attackers to execute arbitrary code without authentication, posing significant risk to network infrastructure across Saudi organizations. With public exploit availability and no patch currently available, immediate mitigation is essential for all affected deployments.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 23, 2026 11:49
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses critical risk to Saudi telecommunications infrastructure (STC, Mobily, Zain), government networks (NCA, CITC), banking sector (SAMA-regulated institutions), and enterprise networks. Tenda routers are widely deployed in SMEs and corporate environments across Saudi Arabia. Successful exploitation enables complete network compromise, lateral movement, data exfiltration, and potential disruption of critical services. Healthcare facilities and energy sector organizations using these routers face operational continuity risks.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Government (NCA, CITC, Ministry networks)
Banking and Financial Services (SAMA-regulated)
Healthcare
Energy and Utilities (ARAMCO, SEC)
Enterprise/SME Networks
Education
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.9
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Tenda AC21 devices running firmware 16.03.08.16 in your network using network scanning tools
2. Isolate affected devices from critical network segments if possible
3. Implement network-level access controls restricting access to /goform/SetNetControlList endpoint
4. Monitor for exploitation attempts using IDS/IPS signatures
PATCHING GUIDANCE:
1. Check Tenda support portal regularly for firmware updates
2. If update becomes available, test in isolated environment before production deployment
3. Document all affected device locations and firmware versions
COMPENSATING CONTROLS:
1. Implement WAF rules blocking requests to /goform/SetNetControlList with suspicious parameters
2. Restrict administrative access to router management interfaces to trusted IPs only
3. Disable remote management features if not required
4. Implement network segmentation isolating router management traffic
5. Deploy IDS/IPS rules detecting buffer overflow patterns in QoS function calls
DETECTION RULES:
1. Monitor HTTP POST requests to /goform/SetNetControlList with abnormally long parameter values
2. Alert on any successful code execution attempts from router management interfaces
3. Track firmware version changes on Tenda devices
4. Monitor for unusual process execution originating from router IP addresses
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة Tenda AC21 التي تعمل بإصدار البرنامج 16.03.08.16 في شبكتك باستخدام أدوات المسح
2. عزل الأجهزة المتأثرة عن قطاعات الشبكة الحرجة إن أمكن
3. تطبيق عناصر التحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية /goform/SetNetControlList
4. مراقبة محاولات الاستغلال باستخدام توقيعات IDS/IPS
إرشادات التصحيح:
1. تحقق من بوابة دعم Tenda بانتظام للحصول على تحديثات البرنامج
2. إذا أصبح التحديث متاحاً، اختبره في بيئة معزولة قبل نشره في الإنتاج
3. توثيق جميع مواقع الأجهزة المتأثرة وإصدارات البرنامج
عناصر التحكم البديلة:
1. تطبيق قواعد WAF لحجب الطلبات إلى /goform/SetNetControlList بمعاملات مريبة
2. تقييد الوصول الإداري إلى واجهات إدارة جهاز التوجيه على عناوين IP موثوقة فقط
3. تعطيل ميزات الإدارة البعيدة إذا لم تكن مطلوبة
4. تطبيق تقسيم الشبكة لعزل حركة إدارة جهاز التوجيه
5. نشر قواعل IDS/IPS للكشف عن أنماط تجاوز المخزن المؤقت في استدعاءات وظيفة QoS
قواعد الكشف:
1. مراقبة طلبات HTTP POST إلى /goform/SetNetControlList بقيم معاملات طويلة بشكل غير طبيعي
2. التنبيه على أي محاولات تنفيذ كود ناجحة من واجهات إدارة جهاز التوجيه
3. تتبع تغييرات إصدار البرنامج على أجهزة Tenda
4. مراقبة تنفيذ العمليات غير العادية من عناوين IP جهاز التوجيه
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures
A.6.1.1 - Access control policy
A.8.1.1 - Asset management
A.12.2.1 - Change management
A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.AM-2 - Software platforms and applications are inventoried
PR.AC-1 - Identities and credentials are issued and managed
PR.PT-2 - Removable media is protected and its use restricted
DE.CM-4 - Malicious code is detected
RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
A.5.1 - Management direction for information security
A.8.1 - Asset management
A.12.2 - Change management
A.12.6 - Management of technical vulnerabilities
A.14.2 - Development and support processes
🟣 PCI DSS v4.0.1
Requirement 1.1 - Firewall configuration standards
Requirement 6.2 - Security patches installation
Requirement 11.2 - Vulnerability scanning
🔗 References & Sources 6
🔗
🔗
🔗
🔗
🔗
🔗
https://github.com/hellonestor/killallbug/issues/14
cna@vuldb.com
https://github.com/hellonestor/killallbug/releases/tag/poc
cna@vuldb.com
https://vuldb.com/?ctiid.352402
cna@vuldb.com
https://vuldb.com/?id.352402
cna@vuldb.com
https://vuldb.com/?submit.775119
cna@vuldb.com
https://www.tenda.com.cn/
cna@vuldb.com