CVE-2024-10123

Nome do software vulnerável e versões afetadas:

Tenda AC8 versão 16.03.34.06

Descrição:

Foi encontrada uma falha crítica na função compare parentcontrol time do arquivo /goform/saveParentControlInfo, que é afetada por um estouro de buffer baseado em pilha. Isso pode ser explorado remotamente através da manipulação do argumento time, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas. A exploração foi divulgada publicamente e pode ser utilizada. O ataque pode ser lançado remotamente enviando uma solicitação POST especialmente criada para o endpoint “/goform/saveParentControlInfo”.

Recomendações:

Para o Tenda AC8 versão 16.03.34.06, como solução temporária, considere desativar a função compare parentcontrol time até que um patch esteja disponível. Restrinja o acesso ao endpoint “/goform/saveParentControlInfo” para minimizar o risco de exploração. Evite usar o argumento time no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.