CVE-2024-11248

Tenda AC10 versão 16.03.10.13

Foi identificada uma falha crítica na função formSetRebootTimer do arquivo /goform/SetSysAutoRebbotCfg, na qual a manipulação do argumento rebootTime leva a um estouro de buffer baseado na pilha. Isso pode ser explorado remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade de informações protegidas ao enviar uma solicitação POST especialmente criada para o endpoint /goform/SetSysAutoRebbotCfg. A exploração foi divulgada publicamente.

Como solução temporária, considere desativar a função formSetRebootTimer até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/SetSysAutoRebbotCfg para minimizar o risco de exploração. Evite usar o argumento rebootTime na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.