CVE-2024-12147

Nome do software vulnerável e versões afetadas:

Netgear R6900 versão 1.0.1.26 1.0.20

Descrição:

Foi identificada uma vulnerabilidade crítica no roteador Netgear R6900, afetando uma funcionalidade desconhecida do arquivo upgrade check.cgi no componente HTTP Header Handler. A manipulação do argumento Content-Length leva a um estouro de buffer. Essa falha pode ser explorada remotamente, permitindo potencialmente que um invasor execute código arbitrário ou cause uma negação de serviço. A vulnerabilidade foi divulgada publicamente e pode ser explorada. Ela afeta apenas produtos que não são mais suportados pelo mantenedor.

Recomendações:

Para o Netgear R6900 versão 1.0.1.26 1.0.20, como solução temporária, considere desativar o arquivo upgrade check.cgi até que um patch esteja disponível. Restrinja o acesso ao componente HTTP Header Handler para minimizar o risco de exploração. Evite usar o argumento Content-Length no endpoint HTTP afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.