Se ha descubierto una vulnerabilidad de autenticación oculta en varias versiones de firmware de routers Tenda, que podría permitir a un atacante obtener acceso administrativo al panel de administración web del dispositivo.
Según un boletín de seguridad del Centro de Coordinación CERT, el problema sigue sin resolverse porque no se ha podido contactar con el fabricante chino del equipo de red.
CERT/CC indica que la vulnerabilidad, identificada como CVE-2026-11405, se debe a un mecanismo de autenticación no documentado en la función `login()` del binario del servidor web `/bin/httpd`.

Si un usuario intenta iniciar sesión, el firmware del enrutador realizará una autenticación estándar basada en MD5. Si eso falla, recuperará una contraseña alternativa del valor de configuración 'sys.rzadmin.password' y la comparará directamente con la contraseña de texto sin formato proporcionada por el usuario remoto.
Si las contraseñas coinciden, el dispositivo otorga acceso de administrador (rol=2) y crea una sesión válida, independientemente del nombre de usuario ingresado.
Por lo tanto, cualquier nombre de usuario será aceptado por el mecanismo siempre que se proporcione la contraseña de la puerta trasera.
CERT/CC afirma que este mecanismo no está documentado en ningún lugar ni se menciona en la interfaz de administración, lo que deja a los usuarios sin conocimiento del riesgo.
"Una explotación exitosa otorga acceso administrativo completo a la interfaz web del dispositivo, independientemente de las credenciales de la cuenta de administrador configurada", describe CERT/CC.
"Con el control administrativo, un atacante puede reconfigurar el dispositivo, modificar la configuración de red y deshabilitar las funciones de seguridad, lo que permite una mayor vulnerabilidad en la red local".
La vulnerabilidad CVE-2026-11405 afecta a las siguientes versiones de firmware y dispositivos Tenda:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD – Tenda FH1201 (router WiFi)
US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE – Tenda W15E (router WiFi)
US_AC10V1.0re_V15.03.06.46_multi_TDE01 – Tenda AC10 (router WiFi)
US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 – Tenda AC5 (router WiFi)
US_AC6V2.0RTL_V15.03.06.51_multi_T – Tenda AC6 V2 (Router WiFi)
CERT/CC informa que actualmente no hay ningún parche disponible y se recomienda a los usuarios de Tenda que desactiven el panel de administración web remoto para evitar el acceso a la interfaz vulnerable a través de internet.
Además, se recomienda restringir la exposición de la red local cambiando la dirección IP LAN predeterminada para reducir la detección oportunista por parte de escáneres automatizados.
La vulnerabilidad CVE-2026-11405 fue descubierta e informada a CERT/CC por un investigador anónimo.

Aunque no se menciona ninguna explotación activa, es muy probable que esta vulnerabilidad sea atacada por botnets que se centran en fallos de seguridad en routers en los próximos meses.