CVE-2024-3874

Nome do software vulnerável e versões afetadas:

Tenda W20E versão 15.11.0.6

Descrição:

Uma falha crítica afeta a função formSetRemoteWebManage do arquivo /goform/SetRemoteWebManage, levando a um estouro de buffer na pilha quando o argumento remoteIP é manipulado. Isso pode ser explorado remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade de informações protegidas por meio do envio de solicitações POST especialmente criadas.

Recomendações:

Para o Tenda W20E versão 15.11.0.6, como solução temporária, considere desativar a função formSetRemoteWebManage até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/SetRemoteWebManage para minimizar o risco de exploração. Evite usar o argumento remoteIP no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.