📄 Description (English)
A vulnerability was detected in Tenda AC5 15.03.06.47. This affects the function fromAddressNat of the file /goform/addressNat of the component POST Request Handler. The manipulation of the argument page results in stack-based buffer overflow. The attack can be launched remotely. The exploit is now public and may be used.
🤖 AI Executive Summary
A critical stack-based buffer overflow vulnerability exists in Tenda AC5 router firmware (version 15.03.06.47) affecting the NAT configuration handler. The vulnerability allows remote attackers to execute arbitrary code by sending a malicious POST request with an oversized 'page' parameter. With public exploits available and no patch released, this poses an immediate threat to organizations using these routers for network access and security perimeter control.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 23, 2026 13:58
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi organizations across multiple sectors: (1) Banking/SAMA-regulated institutions using Tenda routers for branch connectivity or secure network segments; (2) Government agencies (NCA, NCSC) relying on these devices for network infrastructure; (3) Healthcare facilities using Tenda routers for medical device networks; (4) Energy sector (ARAMCO, utilities) using these routers in operational technology networks; (5) Telecommunications providers (STC, Mobily) and ISPs using Tenda equipment in customer premises or network infrastructure. The remote code execution capability enables complete device compromise, lateral network movement, and potential data exfiltration.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Healthcare and Medical Facilities
Energy and Utilities
Telecommunications
Retail and E-commerce
Education
Manufacturing
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
9.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Tenda AC5 devices running firmware 15.03.06.47 in your network using network scanning tools (nmap, Shodan queries)
2. Isolate affected devices from critical network segments if possible, or implement network segmentation
3. Monitor for exploitation attempts using IDS/IPS signatures
4. Disable remote management features on affected routers (disable WAN access to admin interface)
5. Change default credentials on all Tenda devices immediately
PATCHING GUIDANCE:
1. Check Tenda's official website for firmware updates beyond 15.03.06.47
2. If update available, schedule maintenance window and apply firmware upgrade
3. Verify firmware integrity using checksums provided by Tenda
4. Test in lab environment before production deployment
COMPENSATING CONTROLS (if no patch available):
1. Implement firewall rules blocking external access to router management ports (80, 443, 8080)
2. Deploy WAF/IPS rules to detect buffer overflow attempts in POST requests to /goform/addressNat
3. Implement network segmentation to isolate router management traffic
4. Enable router logging and forward logs to SIEM for analysis
5. Consider replacing affected Tenda AC5 devices with patched alternatives from other vendors
DETECTION RULES:
1. Monitor for POST requests to /goform/addressNat with 'page' parameter exceeding 256 bytes
2. Alert on any POST requests containing null bytes or shellcode patterns to this endpoint
3. Monitor router process execution for unexpected child processes
4. Track failed and successful authentication attempts to router admin interface
5. Monitor for unusual outbound connections from router IP addresses
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة Tenda AC5 التي تعمل بالإصدار 15.03.06.47 في شبكتك باستخدام أدوات المسح (nmap، استعلامات Shodan)
2. عزل الأجهزة المتأثرة عن القطاعات الحرجة في الشبكة إن أمكن، أو تطبيق تقسيم الشبكة
3. مراقبة محاولات الاستغلال باستخدام توقيعات IDS/IPS
4. تعطيل ميزات الإدارة البعيدة على أجهزة التوجيه المتأثرة (تعطيل الوصول عبر WAN إلى واجهة الإدارة)
5. تغيير بيانات الاعتماد الافتراضية على جميع أجهزة Tenda فوراً
إرشادات التصحيح:
1. تحقق من موقع Tenda الرسمي للحصول على تحديثات البرامج الثابتة بعد الإصدار 15.03.06.47
2. إذا كان التحديث متاحاً، جدول نافذة صيانة وتطبيق ترقية البرامج الثابتة
3. التحقق من سلامة البرامج الثابتة باستخدام المجاميع الاختبارية المقدمة من Tenda
4. الاختبار في بيئة المختبر قبل النشر في الإنتاج
الضوابط التعويضية (إذا لم يكن التصحيح متاحاً):
1. تطبيق قواعد جدار الحماية لحظر الوصول الخارجي إلى منافذ إدارة التوجيه (80، 443، 8080)
2. نشر قواعد WAF/IPS للكشف عن محاولات فيض المخزن المؤقت في طلبات POST إلى /goform/addressNat
3. تطبيق تقسيم الشبكة لعزل حركة إدارة التوجيه
4. تفعيل تسجيل التوجيه وإعادة توجيه السجلات إلى SIEM للتحليل
5. النظر في استبدال أجهزة Tenda AC5 المتأثرة بدائل معدلة من بائعين آخرين
قواعد الكشف:
1. مراقبة طلبات POST إلى /goform/addressNat مع معامل 'page' يتجاوز 256 بايت
2. التنبيه على أي طلبات POST تحتوي على بايتات فارغة أو أنماط shellcode لهذا الطلب
3. مراقبة تنفيذ عملية التوجيه للعمليات الفرعية غير المتوقعة
4. تتبع محاولات المصادقة الفاشلة والناجحة لواجهة إدارة التوجيه
5. مراقبة الاتصالات الخارجية غير العادية من عناوين IP الموجهة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.8.1 - Asset Management and Inventory Control
ECC 2024 A.12.6 - Change Management
ECC 2024 A.14.2 - System Development and Maintenance
ECC 2024 A.16.1 - Information Security Incident Management
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Physical Devices and Software Assets
SAMA CSF PR.IP-3 - Configuration Change Management
SAMA CSF DE.CM-1 - Network Monitoring
SAMA CSF RS.MI-1 - Incident Response Planning
🟡 ISO 27001:2022
ISO 27001:2022 A.5.19 - Addressing Information Security in Supplier Relationships
ISO 27001:2022 A.8.1 - Inventory of Assets
ISO 27001:2022 A.8.2 - Ownership of Assets
ISO 27001:2022 A.12.6 - Change Management
ISO 27001:2022 A.14.2 - System Development and Maintenance
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security Patches and Updates
PCI DSS 11.2 - Vulnerability Scanning
PCI DSS 12.3 - Security Policy for Third-Party Service Providers
🔗 References & Sources 5
🔗
https://lavender-bicycle-a5a.notion.site/Tenda_AC5_addressNat_page-32053a41781f8017938d...
cna@vuldb.com
Exploit
Third Party Advisory
🔗
https://vuldb.com/?ctiid.353653
cna@vuldb.com
Permissions Required
VDB Entry
🔗
https://vuldb.com/?id.353653
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/?submit.777378
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://www.tenda.com.cn/
cna@vuldb.com
Product
📦 Affected Products / CPE 1 entries
tenda:ac5_firmware:15.03.06.47