PT-2025-6088 · Tenda · Tenda W18E
Matthew Evans
·
Publicado
2023-02-10
·
Atualizado
2025-02-12
·
CVE-2024-46430
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Tenda W18E versão 16.01.0.8(1625)
Descrição
O problema refere-se a um mecanismo de controle de acesso incorreto. Ele permite que um atacante remoto não autenticado altere a senha do administrador por meio do portal de gerenciamento web, enviando uma requisição HTTP POST especialmente elaborada para a função
setLoginPassword, contornando efetivamente o mecanismo de autenticação.Recomendações
Para o Tenda W18E versão 16.01.0.8(1625), como medida paliativa, considere restringir o acesso à função
setLoginPassword até que um patch esteja disponível. Além disso, limite o acesso ao portal de gerenciamento web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Access Control
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tenda W18E