PT-2024-8355 · Tenda · Tenda Ac10
Hand_King
·
Publicado
2024-10-11
·
Atualizado
2024-11-15
·
CVE-2024-11061
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Tenda AC10 versão 16.03.10.13
Descrição
Foi encontrada uma vulnerabilidade crítica na função
FUN 0044db3c do arquivo /goform/fast setting wifi set. A manipulação do argumento timeZone leva a um estouro de buffer baseado na pilha. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. Essa vulnerabilidade pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas ao enviar uma solicitação POST especialmente criada.Recomendações
Para o Tenda AC10 versão 16.03.10.13, atualize para o firmware mais recente disponível para mitigar os riscos. Como solução temporária, considere restringir o acesso à função vulnerável
FUN 0044db3c ou ao arquivo /goform/fast setting wifi set para minimizar o risco de exploração. Evite usar o parâmetro timeZone no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Stack Overflow
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tenda Ac10