Im Zentrum der Warnung steht die Schwachstelle CVE-2026-11405. Nach Darstellung von CERT/CC kann ein Angreifer damit den regulären Passwortabgleich umgehen und die Web-Oberfläche eines betroffenen Tenda-Geräts mit vollständigen Administrationsrechten übernehmen, ohne über gültige Zugangsdaten zu verfügen.

Die undokumentierte Funktion steckt in der „login()“-Routine des Binaries „/bin/httpd“. Der Ablauf beginnt zunächst wie eine normale Anmeldung mit einer MD5-basierten Passwortprüfung. Schlägt diese fehl, verzweigt der Code jedoch in einen alternativen Pfad.

Dabei wird über den Aufruf „GetValue(„sys.rzadmin.password“)“ ein alternativer Passwortwert aus der Gerätekonfiguration gelesen. Anschließend vergleicht die Anwendung das vom Nutzer eingegebene Passwort direkt im Klartext mit dem gespeicherten Konfigurationswert. Stimmen beide Werte überein, vergibt das System Admin-Rechte mit „role=2“ und erstellt eine gültige Sitzung mit erhöhten Privilegien.

Besonders problematisch ist laut CERT/CC, dass der zugehörige Benutzername „rzadmin“ dabei nicht überprüft wird. Nach Angaben des Zentrums funktioniert daher jeder beliebige Benutzername, solange er zusammen mit dem Hintertür-Passwort verwendet wird. CERT/CC betont zudem, dass dieser Authentifizierungsmechanismus weder dokumentiert noch in irgendeiner Administrationsoberfläche sichtbar ist.

Eine erfolgreiche Ausnutzung dieser Umgehung der Benutzername-Prüfung ermöglicht laut CERT/CC vollen administrativen Zugriff auf die Web-Oberfläche des Geräts – unabhängig von den eigentlichen Zugangsdaten des Administratorkontos. Damit seien unautorisierte Änderungen an Einstellungen, das Abschalten von Sicherheitsfunktionen oder eine Neukonfiguration des Geräts möglich, was in einer vollständigen Übernahme des Geräts enden könne.

Die Schwachstelle wurde von einem anonymen Forscher gemeldet. Zum Zeitpunkt der Veröffentlichung der Warnung ist sie weiterhin ungepatcht. Eine Stellungnahme von Tenda lag zunächst nicht vor.

Bis ein Update verfügbar ist, empfiehlt CERT/CC, die Fernverwaltung auf dem Gerät zu deaktivieren und die standardmäßige LAN-IP-Adresse zu ändern. Das soll verhindern, dass Angreifer das Gerät erreichen, und die opportunistische Erkennung durch automatisierte Scanner erschweren, die bekannte Standard-IP-Bereiche gezielt absuchen.