CVE-2024-4494

Tenda i21 versão 1.0.0.14(4656)

Foi encontrada uma vulnerabilidade crítica na função formSetUplinkInfo do arquivo /goform/setUplinkInfo. A manipulação do argumento pingHostIp2 leva a um estouro de buffer baseado em pilha. Essa vulnerabilidade pode ser explorada remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas. A exploração já foi divulgada ao público e pode estar em uso.

Como solução temporária, considere desativar a função formSetUplinkInfo até que uma correção esteja disponível. Restrinja o acesso ao endpoint /goform/setUplinkInfo para minimizar o risco de exploração. Evite usar o parâmetro pingHostIp2 no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.