CVE-2024-10282

Nome do software vulnerável e versões afetadas:

Tenda RX9 e RX9 Pro, versões 22.03.02.10 a 22.03.02.20

Descrição:

O problema está relacionado a um estouro de buffer baseado em pilha na função sub 42EA38, que pode ser explorado enviando uma solicitação POST especialmente criada para o endpoint /goform/SetVirtualServerCfg. Isso pode permitir que um invasor remoto cause uma negação de serviço. A manipulação da lista de argumentos leva ao estouro de buffer. O ataque pode ser lançado remotamente.

Recomendações:

Para as versões 22.03.02.10 a 22.03.02.20, considere desativar a função sub 42EA38 até que um patch esteja disponível.

Restrinja o acesso ao endpoint /goform/SetVirtualServerCfg para minimizar o risco de exploração.

Evite usar a lista de argumentos no endpoint afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.