CVE-2024-45414

Nome do software vulnerável e versões afetadas:

Roteadores ZTE (versões afetadas não especificadas)

Descrição:

O binário HTTPD em vários roteadores ZTE apresenta uma vulnerabilidade de estouro de buffer baseada na pilha na função webPrivateDecrypt. Essa função é responsável por descriptografar texto cifrado RSA, em que os dados criptografados são fornecidos codificados em base64. O texto cifrado decodificado é armazenado na pilha sem verificação de seu comprimento. Um invasor não autenticado pode obter execução remota de código (RCE) como root ao explorar essa vulnerabilidade.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.