Çin merkezli ağ cihazı üreticisi Tenda'nın bazı yönlendirici yazılımlarında, belgelenmemiş bir kimlik doğrulama arka kapısı tespit edildi. CERT Koordinasyon Merkezi (CERT/CC) tarafından yapılan uyarıya göre, bu güvenlik açığı (CVE-2026-11405) sayesinde saldırganlar, geçerli kimlik bilgileri olmadan cihazların web yönetim arayüzüne tam yönetici erişimi elde edebiliyor. Etkilenen yazılım sürümleri arasında US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD, US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE, US_AC10V1.0re_V15.03.06.46_multi_TDE01, US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 ve US_AC6V2.0RTL_V15.03.06.51_multi_T bulunuyor.
Arka kapı işlevselliği, "/bin/httpd" web sunucusu ikili dosyasındaki "login()" fonksiyonunda yer alıyor. Normalde MD5 tabanlı şifre doğrulaması yapan bu fonksiyon, kimlik doğrulama başarısız olduğunda alternatif bir kod yolunu devreye sokuyor. Bu alternatif yol, cihaz yapılandırmasından "GetValue("sys.rzadmin.password")" komutuyla bir şifre alıyor ve kullanıcının girdiği şifreyle düz metin olarak karşılaştırıyor. Eşleşme durumunda, uygulama yönetici düzeyinde erişim (role=2) sağlıyor ve yükseltilmiş ayrıcalıklarla geçerli bir oturum oluşturuyor.
CERT/CC, "İlişkili 'rzadmin' kullanıcı adı doğrulanmıyor, bu nedenle arka kapı şifresiyle eşleştirildiğinde herhangi bir kullanıcı adı başarılı oluyor" uyarısında bulunuyor. Bu mekanizma hiçbir yönetici arayüzünde görünmüyor veya belgelenmiyor. Başarılı bir istismar, saldırganın cihazın web arayüzüne tam yönetici erişimi elde etmesine, ayarları uzaktan değiştirmesine, güvenlik özelliklerini devre dışı bırakmasına ve cihazı tamamen ele geçirmesine olanak tanıyor.
Anonim bir araştırmacı tarafından bildirilen bu güvenlik açığı henüz yamalanmamış durumda. The Hacker News, Tenda'dan konuyla ilgili açıklama bekliyor. Kullanıcılara, cihazda uzaktan yönetimi devre dışı bırakmaları ve varsayılan LAN IP adresini değiştirmeleri öneriliyor. Bu önlemler, kötü niyetli aktörlerin cihaza erişmesini ve otomatik tarayıcıların hedef almasını zorlaştıracaktır.