CVE-2024-2856

Tenda AC10, versões 16.03.10.13 a 16.03.10.20

O problema está relacionado à função fromSetSysTime() no arquivo /goform/SetSysTimeCfg, que é vulnerável a um estouro de buffer baseado em pilha ao lidar com o parâmetro timeZone. Isso pode ser explorado remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas.

Para as versões 16.03.10.13 a 16.03.10.20 do Tenda AC10, como solução temporária, considere desativar a função fromSetSysTime() até que um patch esteja disponível. Restrinja o acesso ao arquivo /goform/SetSysTimeCfg para minimizar o risco de exploração. Evite usar o parâmetro timeZone no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.