Xubeining

**Nome do Software Vulnerável e Versões Afetadas** Tenda CH22 versão 1.0.0.1 **Descrição** Um problema crítico foi encontrado no Tenda CH22, afetando a função `formaddUserName` do arquivo `/goform/addUserName`. A manipulação do argumento `Password` resulta em um estouro de buffer na pilha. Este problema pode ser explorado remotamente. **Recomendações** Para o Tenda CH22 versão 1.0.0.1, como medida temporária, considere desativar a função `formaddUserName` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/goform/addUserName` para minimizar o risco de exploração. Evite usar o argumento `Password` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda CH22 versão 1.0.0.1 **Descrição** Foi encontrada uma vulnerabilidade crítica no Tenda CH22, afetando a função `formNatlimit` do arquivo `/goform/Natlimit`. A manipulação do argumento `page` leva a um estouro de buffer baseado em pilha. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Como solução temporária, considere desabilitar a função `formNatlimit` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/goform/Natlimit` para minimizar o risco de exploração. Evite usar o argumento `page` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-8100 versões até 20250523 **Descrição** Uma falha crítica foi identificada no D-Link DI-8100, afetando a função `httpd get parm` do arquivo `/login.cgi` no componente `jhttpd`. A manipulação do argumento `notify` resulta em um overflow de buffer baseado em pilha. Esta falha só pode ser explorada dentro da rede local. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões do D-Link DI-8100 até 20250523, como solução temporária, considere desabilitar a função `httpd get parm` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/login.cgi` para minimizar o risco de exploração. Evite utilizar o argumento `notify` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda FH451 versão 1.0.0.9 **Descrição** Foi descoberto um problema crítico que afeta a função `webExcptypemanFilter` do arquivo `/goform/webExcptypemanFilter`. A manipulação do argumento `page` leva a um estouro de buffer baseado em pilha. Este problema pode ser explorado remotamente. **Recomendações** Para o Tenda FH451 versão 1.0.0.9, como solução temporária, considere restringir o acesso ao endpoint `/goform/webExcptypemanFilter` para minimizar o risco de exploração. Evite usar o argumento `page` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda A15 versão 15.13.07.13 **Descrição** Uma vulnerabilidade foi encontrada na função `formArpNerworkSet` do arquivo `/goform/ArpNerworkSet`. A manipulação leva à negação de serviço. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o Tenda A15 versão 15.13.07.13, como solução alternativa temporária, considere desativar a função `formArpNerworkSet` até que uma correção esteja disponível. Restrinja o acesso ao endpoint `/goform/ArpNerworkSet` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.