CVE-2024-2703

Tenda AC10U versão 15.03.06.49

O problema está relacionado a um estouro de buffer baseado em pilha no firmware do roteador Tenda AC10U, afetando especificamente as funções formSetFirewallCfg (/goform/SetFirewallCfg) e formSetDeviceName do arquivo /goform/SetOnlineDevName. A manipulação do argumento mac leva a esse estouro. É possível lançar o ataque remotamente, o que pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade das informações protegidas.

Para o Tenda AC10U versão 15.03.06.49, como solução temporária, considere bloquear o acesso à interface de administração até que uma correção esteja disponível. Restrinja o acesso à função vulnerável formSetDeviceName para minimizar o risco de exploração. Evite usar o parâmetro mac no endpoint da API afetado /goform/SetOnlineDevName até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.