CVE-2024-4242

Nome do software vulnerável e versões afetadas:

Tenda W9 versão 1.0.0.7(4456)

Descrição:

O problema está relacionado a um estouro de buffer baseado em pilha na função formwrlSSIDget do arquivo /goform/wifiSSIDget. Isso pode ser explorado através da manipulação do argumento ssidIndex, permitindo que um invasor remoto execute código arbitrário enviando solicitações POST especialmente criadas. O ataque pode ser iniciado remotamente.

Recomendações:

Para o Tenda W9 versão 1.0.0.7(4456), como solução temporária, considere desativar a função formwrlSSIDget até que um patch esteja disponível. Restrinja o acesso ao arquivo /goform/wifiSSIDget para minimizar o risco de exploração. Evite usar o argumento ssidIndex no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.