In der Firmware zahlreicher Tenda-Router steckt ein zweites, verstecktes Passwort. Dieses Passwort verschafft vollen Administratorzugriff, egal welchen Benutzernamen jemand eingibt und egal, was der Besitzer eingestellt hat. Einen Patch gibt es nicht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEine Hintertür in der Tenda-Router-Firmware verwandelt jedes betroffene Gerät in ein offenes Tor: Das US-CERT hat am 6. Juli 2026 einen fest eingebauten Zweitzugang dokumentiert, den kein Nutzer abschalten kann.[1] Der Hersteller wurde im Mai gewarnt, hat aber nicht reagiert. Für kleine Firmen, die solche Geräte im Regal gekauft haben, ist das mehr als ein Consumer-Problem.
Das Wichtigste in Kürze
- CVE-2026-11405: In mehreren Tenda-Modellen prüft die Login-Funktion nach dem normalen Passwort ein verstecktes Zweitpasswort, das volle Admin-Rechte gewährt.
- Betroffen sind unter anderem FH1201, W15E, AC5, AC6 und AC10 in gängigen Firmware-Ständen.
- Einen Patch gibt es nicht, der Hersteller hat nicht auf die Meldung des CERT/CC reagiert.
- Unter dem EU Cyber Resilience Act dürften solche Geräte ab Ende 2027 gar nicht mehr verkauft werden.
Wie funktioniert die versteckte Hintertür?

Die Weboberfläche prüft nach einer gescheiterten Passworteingabe ein zweites, fest in der Firmware hinterlegtes Passwort. Stimmt es, meldet der Router jeden beliebigen Benutzernamen mit vollen Administratorrechten an. Der Besitzer kann diesen Zugang weder sehen noch abschalten.
Technisch sitzt der Zugang im Webserver selbst. Die Login-Funktion im Programm /bin/httpd vergleicht das eingegebene Passwort zunächst wie üblich per MD5-Prüfsumme. Scheitert das, ruft sie über die interne Funktion GetValue einen zweiten Wert namens sys.rzadmin.password ab und vergleicht ihn im Klartext. Passt er, vergibt der Router die interne Rolle 2, also volle Kontrolle.
Genau dieser Aufbau macht die Lücke aus der Ferne ausnutzbar. Ist die Weboberfläche aus dem Internet erreichbar, genügt ein einziger Anmeldeversuch mit dem hinterlegten Passwort. In der Analyse auf Hacker News wird eingewandt, dass sich dahinter ein fest verdrahtetes Konto namens rzadmin verbirgt, dessen Passwort niemand ändern kann. Ähnlich wie bei der Check-Point-VPN-Lücke fällt damit die Passwortabfrage als Schutz komplett aus.
Ein Einzelfall oder ein Muster?
Fest eingebaute Zugangsdaten sind kein Ausrutscher, sondern eine bekannte Fehlerklasse (CWE-798). Bei Tenda ist es nicht der erste Fund dieser Art: Bereits 2013 haben Sicherheitsforscher in den Modellen W302R und W330R einen vergleichbaren Zugang im selben Webserver-Baustein dokumentiert.
Das Muster ist alt und billig. Fest codierte Passwörter, die als Entwicklerkomfort in der Produktion landen, führt die Sicherheitsforschung als eigene Schwachstellenklasse. Genau solche Geräte sind das bevorzugte Futter für Botnetze wie Mirai und Moobot, die verwundbare Router kapern und für Angriffe auf Dritte bündeln.
Auffallend ist auch der Meldeweg. Der Fund hat das CERT/CC anonym erreicht, der Hersteller ist trotz Frist stumm geblieben, und erst die Veröffentlichung schafft Druck. Dasselbe Muster zeigt der Fall eines anonymen GitHub-Accounts, der reihenweise ungemeldete Lücken publik gemacht hat. Dass eine Schwachstelle lange unbemerkt bleibt, ist ebenfalls kein Einzelfall, wie die erst nach Jahren entdeckte KVM-Lücke Januscape zeigt.
Ein Router mit fest eingebautem Zweitpasswort ist kein Sicherheitsprodukt, sondern ein vorinstalliertes Risiko. Der Preis auf dem Karton entscheidet hier über die Angriffsfläche im ganzen Netz.
— Markus Seyfferth, Chefredakteur Dr. Web
Was hinter CVE-2026-11405 steckt
Was bedeutet das für Unternehmen im DACH-Raum?
Betroffene Tenda-Geräte gehören sofort von der Fernverwaltung getrennt und perspektivisch ersetzt. Der EU Cyber Resilience Act macht fest eingebaute Passwörter künftig unzulässig, doch Bestandsgeräte im Netz schützt das nicht.
Regulatorisch schließt sich der Kreis gerade erst. Der Cyber Resilience Act der EU verbietet Produkte mit fest hinterlegten Standardpasswörtern und bekannten, ausnutzbaren Lücken. Voll anwendbar ist er ab dem 11. Dezember 2027. Als Maßstab für sichere Router gilt in Deutschland zusätzlich die BSI-Richtlinie TR-03148. Ein Gerät wie das beschriebene wäre unter diesen Regeln nicht mehr verkehrsfähig.
Bis dahin bleibt die Eigenverantwortung. Für betroffene Geräte im Einsatz gilt:
- Fernverwaltung (Remote Management) abschalten, damit die Weboberfläche nicht aus dem Internet erreichbar ist.
- Betroffene Modelle im Netz aufspüren und in ein separates Segment ohne Zugriff auf Firmendaten verschieben.
- Geräte ohne Herstellersupport durch Modelle mit Sicherheits-Updates ersetzen oder auf die freie Firmware OpenWRT umflashen.
- Beim Einkauf auf CRA-Konformität achten, denn ab Ende 2027 sind Geräte mit fest hinterlegten Passwörtern nicht mehr zulässig.
Die eigentliche Lehre steckt nicht in dieser einen Firmware. Solange Netzwerktechnik nach Preis statt nach Update-Versprechen gekauft wird, bleibt jedes Gerät im Regal eine Wette darauf, dass niemand die Hintertür findet. Bei Tenda hat sie diesmal jemand gefunden und veröffentlicht.
Quelle
[1] CERT Coordination Center: „VU#213560: Tenda firmware (multiple versions) contains hidden authentication backdoor“ ↩