CVE-2024-7614

Nome do software vulnerável e versões afetadas:

Tenda FH1206 versão 1.2.0.8(8155)

Descrição:

Foi encontrada uma vulnerabilidade crítica na função fromqossetting do arquivo /goform/qossetting. A manipulação do argumento page leva a um estouro de buffer baseado na pilha. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.

Recomendações:

Para o Tenda FH1206 versão 1.2.0.8(8155), como solução temporária, considere desativar a função fromqossetting até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/qossetting para minimizar o risco de exploração. Evite usar o argumento page no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.