CVE-2024-4111

Nome do software vulnerável e versões afetadas:

Tenda TX9 versão 22.03.02.10

Descrição:

Foi identificada uma falha crítica que afeta a função sub 42BD7C do arquivo /goform/SetLEDCfg. A manipulação do argumento time leva a um estouro de buffer baseado em pilha. Esta vulnerabilidade pode ser explorada remotamente através do envio de uma solicitação POST especialmente criada com o parâmetro time. A exploração já foi divulgada publicamente.

Recomendações:

Para o Tenda TX9 versão 22.03.02.10, como solução temporária, considere desativar a função sub 42BD7C até que uma correção esteja disponível. Restrinja o acesso ao arquivo /goform/SetLEDCfg para minimizar o risco de exploração. Evite usar o parâmetro time no endpoint da API afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.