CVE-2024-2855

Tenda AC15, versões 15.03.05.18 a 15.03.05.19 e versão 15.03.20

Foi encontrada uma vulnerabilidade crítica na função fromSetSysTime do arquivo /goform/SetSysTimeCfg. A manipulação do argumento time leva a um estouro de buffer baseado em pilha. Essa vulnerabilidade pode ser explorada remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas. A exploração já foi divulgada ao público e pode estar em uso.

Para as versões 15.03.05.18 a 15.03.05.19 e a versão 15.03.20 do Tenda AC15, como solução temporária, considere desativar a função fromSetSysTime até que um patch esteja disponível. Restrinja o acesso ao arquivo /goform/SetSysTimeCfg para minimizar o risco de exploração. Evite usar o argumento time no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.