یک آسیبپذیری با شناسه CVE-2024-4127 و شدت بالا (8.8) در روتر Tenda W15E شناسایی شده است. نقص امنیتی مذکور، تابع guestWifiRuleRefresh را تحتتأثیر قرار میدهد و با بهرهبرداری از آن، مهاجم میتواند از راه دور با دستکاری آرگمان qosGuestDownstream منجر به سرریز بافر مبتنی بر پشته(stack-based buffer overflow) میشود.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری firmware نسخه V15.11.0.14 روتر Tenda W15E را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود، در اسرع وقت firmware روتر خود را به آخرین نسخه بهروزرسانی کنند.
منبع خبر:
- 45