CVE-2024-3877

Nome do software vulnerável e versões afetadas:

Tenda F1202 versão 1.2.0.20(408)

Descrição:

Foi encontrada uma vulnerabilidade crítica na função fromqossetting do arquivo /goform/fromqossetting. A manipulação do argumento qos leva a um estouro de buffer baseado na pilha. O ataque pode ser lançado remotamente. Um exploit foi divulgado publicamente e pode ser utilizado. Esta falha afeta a confidencialidade, integridade e disponibilidade das informações protegidas, permitindo que um invasor remoto envie uma solicitação POST especialmente criada com o parâmetro qos.

Recomendações:

Para o Tenda F1202 versão 1.2.0.20(408), como solução temporária, considere desativar a função fromqossetting até que uma correção esteja disponível. Restrinja o acesso ao endpoint /goform/fromqossetting para minimizar o risco de exploração. Evite usar o parâmetro qos no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.