کشف آسیب‌پذیری در Tenda

کشف آسیب‌پذیری در Tenda

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-1069 و شدت 8.8 (بحرانی) در روتر شرکت Tenda کشف شده است. تابع formSetDeviceName در فایل /goform/SetOnlineDevName تحت تاثیر این نقص امنیتی است. مهاجم با دستکاری آرگومان devName می‌تواند بافر مبتنی بر پشته را پر کند تا منجر به سر ریز بافر شود.
براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه و با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله با سطح دسترسی پایین و بدون تایید کاربرانجام می‌شود(PR:N/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:L/A:L)

محصولات تحت تأثیر


این آسیب‌پذیری این نسخه از  محصول Tenda AC6 15.03.05.19 را تحت تاثیر قرار می‌دهد.
 

توصیه امنیتی


تا به حال هیچ راهکاری جهت رفع این آسیب‌پذیری ارائه نشده است.
 

منابع خبر:

 

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10698
[2]https://vuldb.com/?id.282866