CVE-2024-10281

Nome do software vulnerável e versões afetadas:

Tenda RX9 e RX9 Pro, versões 22.03.02.10 a 22.03.02.20

Descrição:

Foi encontrada uma vulnerabilidade crítica que afeta a função sub 42EEE0 do arquivo /goform/SetStaticRouteCfg. A manipulação da lista de argumentos leva a um estouro de buffer baseado em pilha. Essa vulnerabilidade pode ser explorada remotamente através do envio de uma solicitação POST especialmente criada, permitindo potencialmente que um invasor cause uma negação de serviço. A exploração foi divulgada publicamente.

Recomendações:

Para as versões 22.03.02.10 a 22.03.02.20 do Tenda RX9 e RX9 Pro, considere desativar a função sub 42EEE0 como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo /goform/SetStaticRouteCfg para minimizar o risco de exploração. Evite usar a função vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.