بهتازگی یک آسیبپذیری به شماره شناسه CVE-2024-8225 و شدت ۸.۹ در نسخه 15.11.0.20 از دستگاه Tenda G3 شناسایی شده است. این آسیبپذیری در تابع formSetSysTime فایل /goform/SetSysTimeCfg رخ میدهد و به دلیل یک سرریز بافر مبتنی بر پشته به وجود میآید که میتواند از طریق دستکاری آرگومان sysTimePolicy فعال شود. این نقص امنیتی به مهاجمان اجازه میدهد تا از راه دور کد دلخواه را روی سیستم آسیبدیده اجرا کنند که میتواند منجر به کنترل کامل دستگاه شود.
محصولات تحتتأثیر
این آسیبپذیری به طور خاص مدل Tenda G3 با نسخه 15.11.0.20 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
تاکنون راهکاری برای رفع این آسیبپذیری ارائه نشده است اما پیشنهاد میشود که اقدامات زیر انجام گیرد:
• دسترسی به پورتها و سرویسهای غیرضروری را محدود کنید. اطمینان حاصل کنید که تنها ترافیک مورد نیاز به دستگاهها اجازه دسترسی دارد.
• دسترسی از راه دور به رابطهای مدیریتی دستگاهها را محدود کرده و از مکانیزمهای احراز هویت قوی استفاده کنید.
منبع خبر:
- 37