CVE-2020-13393

Tenda AC6 versão 1.0 V15.03.05.19 multi TD01

Tenda AC9 versão 1.0 V15.03.05.19(6318) CN

Tenda AC9 versão 3.0 V15.03.06.42 multi

Tenda AC15 versão 1.0 V15.03.05.19 multi TD01

Tenda AC18 versão 15.03.05.19(6318) CN

Existe uma vulnerabilidade de estouro de buffer no servidor web do roteador, especificamente no httpd. A vulnerabilidade ocorre durante o processamento dos parâmetros “deviceId” e ‘time’ em uma solicitação POST para o endpoint “/goform/saveParentControlInfo”. Um invasor pode explorar essa vulnerabilidade criando uma carga maliciosa para realizar ataques de execução de código arbitrário.

Para o Tenda AC6 versão 1.0 V15.03.05.19 multi TD01, considere desativar o serviço httpd até que uma correção esteja disponível.

Para o Tenda AC9 versão 1.0 V15.03.05.19(6318) CN, restrinja o acesso ao endpoint “/goform/saveParentControlInfo” para minimizar o risco de exploração.

Para o Tenda AC9 versão 3.0 V15.03.06.42 multi, evite usar os parâmetros deviceId e time no endpoint da API afetado até que o problema seja resolvido.

Para o Tenda AC15 versão 1.0 V15.03.05.19 multi TD01, considere desativar temporariamente o serviço httpd para impedir a exploração.

Para o Tenda AC18 versão 15.03.05.19(6318) CN, restrinja o acesso ao serviço httpd vulnerável até que uma correção esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.