کشف آسیب‌پذیری در Tenda i21

کشف آسیب‌پذیری در Tenda i21

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-4494 و شدت 8.8 (بالا) در Tenda i21 1.0.0.14(4656) کشف شده است که به موجب این آسیب‌پذیری، آرگومان pingHostlp2 منجر به سرریز بافر مبتنی بر پشته می‌شود. مهاجم می‌تواند حمله را می‌توان از راه دور انجام دهد و به بهره‌برداری از آن دست پیدا کند. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:N).

محصولات تحت تأثیر
نسخه V1.0.0.14(4656) از i21 Tenda تحت تأثیر آسیب‌پذیری مذکور قرار دارد که این نقص امنیتی مربوط به تابع form setUplink info از فایل goform/setuplink info می‌باشد.

توصیه امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء i21 Tenda اقدامات لازم را انجام دهند.

منابع خبر: 


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-4494
[2]https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/i/i21/formSetUplinkInfo.md