CVE-2024-6403

Nome do software vulnerável e versões afetadas:

Tenda A301 versão 15.13.08.12

Descrição:

Foi identificada uma falha crítica na função formWifiBasicSet do arquivo /goform/SetOnlineDevName, na qual a manipulação do argumento devName leva a um estouro de buffer baseado na pilha. Isso pode ser explorado remotamente através do envio de uma solicitação POST especialmente criada, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas.

Recomendações:

Para o Tenda A301 versão 15.13.08.12, como solução temporária, considere desativar a função formWifiBasicSet até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/SetOnlineDevName para minimizar o risco de exploração. Evite usar o parâmetro devName no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.