minanagehsalalma/cve-2026-34474-zte-h298a-h108n-sensitive-data-exposure

# CVE-2026-34474：ZTE H298A / H108N 通过 ETHCheat 泄露秘密 关于 `CVE-2026-34474` 的技术分析，其中未经认证的 `ETHCheat=1` 请求会导致受影响的 ZTE ZXHN `H298A 1.1` 和 `H108N 2.6` 路由器在响应标记中返回实时管理员密码、ESSID 和 WLAN PSK。  ## 摘要 观察到的漏洞利用路径是一个未经认证的管理页面信息泄露。一个精心构造的 GET 请求 `getpage.lua?pid=1000ÐCheat=1` 会返回包含 `OBJ_USERINFO_IDPassword1`、`WLANPSK_KeyPassphrase1` 和 `WLANAP_ESSID1` 等字段的 HTML。在报告的 H298A 和 H108N 版本上，这意味着路由器会将实时管理员密码和 WLAN PSK 直接泄露给未经认证的调用者。 本地的 PoC 材料还包括一个配套请求 `wizard_page/wizard_overETHfail_set_lua.lua`，它在结构化输出中暴露了序列号。据报道，一些同型号变体泄露的是简化的标识符集，而非完整的密码-PSK 组合，但其认证边界仍然存在相同的失败方向。 ## 补丁状态 截至 `2026-05-18`，公开记录显示 `CVE-2026-34474` 于 `2026-05-06` 公开。ZTE 在 2026 年的信函中表明的立场是，受影响的产品已于 `2022` 年和 `2023` 年停产，并以此为由拒绝了厂商侧的 CVE 分配。 ## 受影响设备 - `ZXHN H298A 1.1` - `ZXHN H108N 2.6` ## 根本原因 目前保留的证据支持以下链条： 1. 一个未经认证的客户端请求 `GET /getpage.lua?pid=1000ÐCheat=1`。 2. 路由器在响应正文中返回包含凭据的 HTML 字段。 3. 提取脚本直接从返回的标记中读取管理员密码、ESSID 和 WLAN PSK。 4. 一个相关的向导端点也会暴露序列信息。 这就是为什么该问题从信息泄露转变为实际的安全破坏：管理接口本身返回了攻击者获取管理员和 Wi-Fi 访问权限所需的实时秘密信息。 ## 仓库结构 - `index.html`：主要的公开技术报告 - `assets/`：页面 CSS 和 JavaScript - `images/`：本地截图和清理后的发布用图 - `poc/`：提取脚本和验证说明 ## 公开参考资料 - CVE 记录： - NVD： - 公开公告 Gist： - ZTE EOS 通知： - ZTE EOS 通知： ## 时间线 - `2024-05-02`：原始报告发送至 ZTE PSIRT - `2024-05-06`：ZTE 确认收到 - `2024-05-08`：ZTE 验证了问题并提及了 EOS 公告 - `2026-01-17`：MITRE 服务请求 `1980204` 与 H298A / H108N 包一起开放 - `2026-02-02`：ZTE 以产品停产为由拒绝了厂商侧的 CVE 分配 - `2026-03-27`：MITRE 分配了 `CVE-2026-34474` - `2026-03-30`：公开参考资料发送给 MITRE，并在服务请求 `2016046` 下开放后续跟进 - `2026-05-06`：`CVE-2026-34474` 在 `cve.org` 上发布 ## 备注 本仓库中当前最强有力的技术证据是保存的响应行为和从返回标记中提取的字段名称。恢复 `ETHCheat` 分支的确切服务端实现仍然是一个开放的逆向工程跟踪项。

标签：多模态安全, 威胁模拟, 数据可视化, 逆向工具