PT-2024-8524 · Tenda · Tenda Ac1206
Physicszq
·
Publicado
2024-10-28
·
Atualizado
2024-11-01
·
CVE-2024-10434
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Tenda AC1206, versões até 20241027
Descrição
O problema está relacionado a um estouro de buffer baseado em pilha nas funções
ate Tenda mfg check usb() e ate Tenda mfg check usb3(), localizadas no arquivo /goform/ate do firmware do roteador Tenda AC1206. Isso ocorre quando o parâmetro arg é manipulado, permitindo que um invasor remoto possa executar código arbitrário ou causar uma negação de serviço.Recomendações
Para as versões do Tenda AC1206 até 20241027, como solução temporária, considere desativar as funções
ate Tenda mfg check usb() e ate Tenda mfg check usb3() até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/ate para minimizar o risco de exploração. Evite usar o parâmetro arg no endpoint da API afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tenda Ac1206