PT-2022-19745 · Totolink · Totolink A3100R
Hijin0925
·
Publicado
2022-05-18
·
Atualizado
2022-05-26
·
CVE-2022-29641
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
TOTOLINK A3100R, versões V4.1.2cu.5050 B20200504 a V4.1.2cu.5247 B20211129
Descrição
O problema está relacionado a um estouro de pilha por meio dos parâmetros
startTime e endTime na função setParentalRules, permitindo que invasores provoquem uma negação de serviço (DoS) por meio de uma solicitação POST maliciosa ao endpoint da API afetada.Recomendações
Para as versões V4.1.2cu.5050 B20200504 a V4.1.2cu.5247 B20211129, considere desativar a função
setParentalRules como uma solução temporária para evitar a exploração.Restrinja o acesso ao endpoint da API que aceita os parâmetros
startTime e endTime para minimizar o risco de ataques de Negação de Serviço (DoS).Exploit
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink A3100R