CVE-2024-7707

Nome do software vulnerável e versões afetadas:

Tenda FH1206 versão 02.03.01.35

Descrição:

Uma falha crítica afeta a função formSafeEmailFilter do arquivo /goform/SafeEmailFilter no componente HTTP POST Request Handler. A manipulação do argumento page leva a um estouro de buffer baseado na pilha. Essa vulnerabilidade pode ser explorada remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade de informações protegidas por meio do envio de uma solicitação POST especialmente criada. A exploração foi divulgada publicamente.

Recomendações:

Para o Tenda FH1206 versão 02.03.01.35, como solução temporária, considere desativar a função formSafeEmailFilter até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/SafeEmailFilter para minimizar o risco de exploração. Evite usar o parâmetro page no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.