El Centro de Coordinación del CERT (CERT/CC de la Universidad de Carnegie Mellon) publicó recientemente una alerta sobre la vulnerabilidad CVE-2026-11405, una falla de autenticación presente en diversas versiones de firmware de equipos de red Tenda que permite acceder con privilegios administrativos mediante un mecanismo oculto no documentado. Según el aviso, el problema permanece sin corrección debido a que no fue posible coordinar la divulgación con el fabricante.
La vulnerabilidad reside en la función login() del binario /bin/httpd, responsable de la interfaz web de administración de los dispositivos. De acuerdo con la descripción técnica del CERT/CC y la ficha de la Base Nacional de Vulnerabilidades (NVD), el proceso de autenticación intenta inicialmente validar las credenciales mediante el mecanismo habitual basado en MD5. Sin embargo, cuando esa validación falla, el software ejecuta una ruta alternativa que recupera un valor almacenado en la configuración interna del dispositivo y compara directamente la contraseña suministrada por el usuario. Si ambas coinciden, el sistema crea una sesión con privilegios administrativos, sin verificar el nombre de usuario.
CERT/CC explicó que “el nombre de usuario asociado (‘rzadmin’) no se valida, por lo que cualquier nombre de usuario proporcionado funcionará al combinarlo con la contraseña de acceso no autorizado. Este mecanismo de autenticación de acceso no autorizado no está documentado ni es visible a través de ninguna interfaz administrativa”.
Las versiones afectadas corresponden a firmware de los modelos FH1201, W15E, AC10, AC5 y AC6, identificados específicamente en el aviso de CERT/CC. La NVD clasifica el problema como una vulnerabilidad de autenticación mediante puerta trasera (CWE-912: Hidden Functionality), indicando que el mecanismo permite omitir la verificación normal de credenciales.
Respecto del impacto, CERT/CC señaló que “la explotación exitosa otorga acceso administrativo completo a la interfaz web del dispositivo, independientemente de las credenciales de la cuenta de administrador configurada”. Con ese nivel de acceso, un atacante puede modificar la configuración del equipo, alterar parámetros de red y deshabilitar funciones de seguridad.
Hasta la publicación del aviso no existía un parche disponible para corregir la vulnerabilidad. Además, CERT/CC indicó que el fabricante no respondió durante el proceso de divulgación coordinada, por lo que el problema continúa sin una solución oficial.
Mientras no exista una actualización, el organismo recomienda reducir la superficie de exposición deshabilitando la administración web remota del dispositivo. También aconseja modificar la dirección IP LAN predeterminada para disminuir la probabilidad de que los equipos sean localizados mediante escaneos automatizados dirigidos a rangos de direcciones comúnmente utilizados.
La vulnerabilidad fue reportada de forma anónima a CERT/CC. Al momento de la publicación de los avisos oficiales, no se informaba de una actualización de firmware que eliminara el mecanismo de autenticación oculto.


