CERT/CC alerta de una puerta trasera no documentada en routers Tenda: CVE-2026-11405
El equipo de CERT/CC ha publicado una nota de vulnerabilidad que afecta a varios modelos de routers y puntos de acceso de la marca Tenda. Se trata de una puerta trasera de autenticación —no documentada por el fabricante— que permite a un atacante acceder al panel de administración web con privilegios totales, sin necesidad de conocer la contraseña legítima del dispositivo.
¿Qué ha ocurrido?
El binario del servidor web /bin/httpd, presente en el firmware de los equipos afectados, incluye un mecanismo alternativo de autenticación en la función login(). Inicialmente, el proceso sigue el flujo normal: el sistema comprueba la contraseña introducida mediante un hash MD5. Sin embargo, si esa verificación falla, el firmware consulta un valor oculto en la configuración del dispositivo (sys.rzadmin.password) y compara directamente, en texto plano, la contraseña introducida por el usuario con ese valor secreto.
Si ambas coinciden, el sistema otorga automáticamente el rol de administrador (role=2) y crea una sesión válida. Lo más grave es que el nombre de usuario no se valida: cualquier usuario sirve, siempre que se acompañe de la contraseña trasera.
Este mecanismo no aparece documentado en ninguna interfaz de administración ni en el manual del producto.
Modelos confirmados como afectados
CERT/CC ha verificado la presencia de esta puerta trasera en las siguientes versiones de firmware:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
Impacto de la vulnerabilidad
Un atacante que explote esta vulnerabilidad obtiene control administrativo completo sobre el dispositivo. Desde ahí puede:
- Modificar la configuración de red.
- Redirigir el tráfico a servidores maliciosos.
- Desactivar funciones de seguridad como el firewall o el cifrado Wi-Fi.
- Comprometer otros equipos conectados a la red local.
Soluciones y mitigaciones
CERT/CC ha intentado contactar con Tenda para coordinar la publicación, pero no ha recibido respuesta. Por lo tanto, no existe parche oficial disponible en estos momentos. Hasta que el fabricante publique una actualización de firmware, se recomiendan las siguientes medidas de mitigación:
Medidas recomendadas
- Desactivar la administración remota web si el router la permite. Esto impide que atacantes externos accedan al panel desde Internet.
- Cambiar la dirección IP local por defecto del router (por ejemplo, evitar 192.168.0.1 o 192.168.1.1). Esto dificulta la detección automatizada por escáneres oportunistas, aunque no detiene un ataque dirigido.
- Monitorizar el tráfico de red en busca de conexiones sospechosas al panel de administración.
- Segmentar la red local para limitar el alcance de un posible compromiso.
Prácticas que debes evitar
- Mantener la administración remota activada sin restricciones de IP.
- Ignorar la alerta a la espera de que el fabricante actúe por su cuenta.
- Asumir que cambiar solo la contraseña Wi-Fi protege el panel de administración (la puerta trasera la ignora).
- Conectar el router directamente a Internet sin un firewall perimetral adicional.
Conclusión
La aparición de puertas traseras no documentadas en equipos de red domésticos es un recordatorio de que la seguridad no termina en la contraseña que el usuario configura. En este caso, Tenda ha incluido —de forma deliberada o accidental— un mecanismo que anula por completo la autenticación. Hasta que no haya una respuesta clara por parte del fabricante, los usuarios de los modelos afectados deben aplicar las medidas de mitigación descritas y valorar seriamente la sustitución del dispositivo si gestionan redes sensibles.
Referencia técnica: VU#213560 — CERT/CC
CVE asociado: CVE-2026-11405
Fecha de publicación: 6 de julio de 2026
