CVE-2023-49910

Ponto de acesso sem fio Gigabit MU-MIMO TP-Link AC1350 (EAP225 V3), versão 5.1.0, compilação 20220926

TP-Link EAP115, versão 5.0.4, compilação 20220216

Existe uma vulnerabilidade de estouro de buffer baseada em pilha na funcionalidade de agendamento de rádio da interface web. Esse problema pode ser acionado por uma série de solicitações HTTP especialmente criadas, podendo levar à execução remota de código. A vulnerabilidade está especificamente relacionada ao estouro que ocorre por meio do parâmetro ssid. Um invasor pode explorar essa vulnerabilidade fazendo uma solicitação HTTP autenticada.

Para o Ponto de Acesso Gigabit Sem Fio MU-MIMO Tp-Link AC1350 (EAP225 V3) versão 5.1.0 Build 20220926, considere desativar a funcionalidade Radio Scheduling até que um patch esteja disponível.

Para o Tp-Link EAP115 versão 5.0.4 Build 20220216, restrinja o acesso ao binário httpd para minimizar o risco de exploração.

Como solução alternativa temporária, evite usar o parâmetro ssid no endpoint da API afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.