La vulnerabilidad CVE-2026-6120, un desbordamiento de búfer en la pila en la función fromDhcpListClient del servidor HTTP (httpd) del router Tenda F451, permite a un atacante remoto autenticado ejecutar código arbitrario y tomar el control completo del dispositivo. Con un exploit público ya disponible y una puntuación CVSS de 8.8 (Alta), los sistemas que ejecutan la versión 1.0.0.7 del firmware se encuentran en un riesgo inminente de compromiso.
Puntos clave:
- Vulnerabilidad: Desbordamiento de búfer en la pila (stack-based buffer overflow) en el componente httpd del router Tenda F451.
- Acceso: Remoto, requiriendo privilegios bajos de autenticación (PR:L).
- Impacto: Alto en confidencialidad, integridad y disponibilidad (C:H/I:H/A:H).
- Exploit: Público y potencialmente activo, incrementando la urgencia de actuación.
- Producto afectado: Router Tenda F451 con firmware versión 1.0.0.7.
| CVE ID | CVE-2026-6120 |
| Severidad (CVSS) | 8.8 – ALTA |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Productos afectados | Router Tenda F451 (firmware v1.0.0.7) |
| Exploit público | Sí |
| Fecha publicación | 12 de abril de 2026 |
Análisis técnico de la vulnerabilidad CVE-2026-6120
Desde el punto de vista de la ciberinteligencia, CVE-2026-6120 representa un fallo clásico pero peligroso en la gestión de la memoria dentro del software embebido de un dispositivo de red. La vulnerabilidad reside en la función fromDhcpListClient, ubicada en el archivo /goform/DhcpListClient, que forma parte del demonio httpd responsable de la interfaz web de administración del router.
El problema surge cuando se manipula el argumento page enviado a esta función. Al no validar correctamente la longitud de la entrada, un atacante puede enviar datos especialmente manipulados que exceden la capacidad del búfer asignado en la pila (stack). Este desbordamiento permite sobrescribir direcciones de retorno y, en última instancia, ejecutar código arbitrario con los privilegios del proceso httpd, que suelen ser elevados en estos dispositivos.
Mecanismo de explotación del buffer overflow
El vector de ataque es remoto (AV:N) y requiere que el atacante tenga credenciales de acceso de bajo privilegio (PR:L) a la interfaz de administración. Sin embargo, en muchos entornos domésticos y PYMEs, es común que las credenciales por defecto no se cambien, o que existan credenciales débiles, lo que reduce significativamente la barrera de entrada para un ciberdelincuente. Una vez autenticado, el atacante puede lanzar una petición HTTP maliciosa a la URL vulnerable, desencadenando el desbordamiento y ganando control sobre el router.
El impacto es total: compromete la confidencialidad (puede leer tráfico de red, credenciales), la integridad (puede modificar configuraciones, redirigir DNS) y la disponibilidad (puede reiniciar o bloquear el dispositivo). En un escenario de ataque avanzado, este router comprometido podría servir como punto de entrada a toda la red interna.
Sistemas y versiones afectadas
Tras nuestro análisis, confirmamos que esta vulnerabilidad afecta específicamente a un modelo y versión de firmware concretos. A continuación, detallamos la información en la siguiente tabla.
| Producto | Versiones vulnerables | Versión parcheada |
|---|---|---|
| Tenda F451 | Firmware 1.0.0.7 | Por determinar (consultar con el fabricante) |
Es fundamental verificar la versión de firmware de vuestro router Tenda F451. Podéis hacerlo accediendo a la interfaz web de administración, normalmente en http://192.168.0.1 o la IP configurada, y navegando a la sección de estado o configuración del sistema.
Cómo parchear la vulnerabilidad CVE-2026-6120: guía paso a paso
En el momento de redactar este análisis, Tenda no ha publicado oficialmente un firmware parcheado para el modelo F451. No obstante, el proceso de parcheo, una vez disponible, seguirá estos pasos. Recomendamos monitorizar activamente el sitio de soporte del fabricante.
- Identificación y descarga del parche: Acceded al sitio web oficial de soporte de Tenda (www.tenda.com) y buscad la sección de descargas para el modelo «F451». Verificad que existe una versión de firmware posterior a la 1.0.0.7 y que en sus notas de versión se mencione la corrección de CVE-2026-6120 o un «buffer overflow en la función DhcpListClient». Descargad el archivo .bin en vuestro ordenador.
- Acceso seguro al router: Conectaos al router mediante un cable Ethernet, si es posible, para evitar desconexiones durante la actualización. Acceded a la interfaz web de administración con credenciales seguras.
- Copia de seguridad de la configuración: Antes de cualquier actualización, exportad la configuración actual del router desde la sección correspondiente (ej., «Herramientas del sistema» → «Copia de seguridad y restauración»). Esto os permitirá restaurar la configuración en caso de problemas.
- Aplicación del firmware: Navegad a «Herramientas del sistema» → «Actualización de firmware». Seleccionad el archivo .bin descargado e iniciad el proceso de actualización. No apaguéis ni reiniciéis el router durante este proceso, que puede durar varios minutos.
- Reinicio y verificación: Una vez completado, el router se reiniciará automáticamente. Volved a acceder a la interfaz y confirmad en la página de estado que la versión de firmware se ha actualizado correctamente.
Comando de verificación (si se tiene acceso CLI)
Aunque la interfaz principal es web, algunos routers permiten acceso por telnet o SSH. Si tenéis acceso, podéis verificar la versión con un comando como:
cat /proc/version | grep FirmwareEl output debería mostrar una versión posterior a la 1.0.0.7. Recordad que el acceso CLI no es común en usuarios finales y puede requerir credenciales específicas.
Medidas adicionales de mitigación inmediata
Si no podéis aplicar el parche de inmediato, implementad estas contramedidas para reducir drásticamente la superficie de ataque y el riesgo de explotación de la CVE-2026-6120.
1. Restringir el acceso a la interfaz de administración
Limitad el acceso a la interfaz web (puerto TCP 80/HTTP y/o 443/HTTPS) solo a direcciones IP de confianza desde la red interna. Si el router lo permite, deshabilitad el acceso administrativo desde la WAN (Internet). Esto suele estar en «Seguridad» → «Acceso remoto» o similar. Estableced reglas de firewall para bloquear todo acceso externo al puerto 80 y 443 del router.
2. Fortalecer las credenciales de autenticación
Cambiad inmediatamente la contraseña por defecto del administrador por una contraseña fuerte y única. Como el ataque requiere autenticación (PR:L), una contraseña robusta es una barrera efectiva, aunque no elimina la vulnerabilidad subyacente.
3. Aislar el dispositivo en una VLAN (para entornos empresariales)
En redes corporativas, considerad mover los routers Tenda F451 afectados a una VLAN aislada, con reglas estrictas que limiten su comunicación con segmentos críticos de la red. Monitorizad el tráfico desde y hacia estos dispositivos en busca de actividades anómalas.
4. Monitorizar logs y tráfico sospechoso
Activad el registro de eventos (logs) en el router y configurad alertas para múltiples intentos de acceso fallidos o accesos exitosos desde IPs no reconocidas. Utilizad un sistema de detección de intrusos (IDS) en la red para identificar patrones de tráfico asociados a intentos de explotación de buffer overflow.
- Verificad que la versión de firmware en la interfaz web sea superior a la 1.0.0.7.
- Confirmad que todas las funcionalidades básicas del router (DHCP, Wi-Fi, enrutamiento) operan con normalidad.
- Restaurad la configuración de red desde la copia de seguridad realizada, si es necesario.
- Consultad la referencia oficial en la NVD (CVE-2026-6120) para confirmar el estado oficial del parche.
Referencias y recursos oficiales
- NVD – CVE-2026-6120 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: github.com
- Referencia: vuldb.com
- Referencia: vuldb.com
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.