یک آسیبپذیری با شناسه CVE-2024-11061 و شدت 8.8 (بالا) در مودم روترهای Tenda مدل AC10 کشف شده است. مهاجم با استفاده از این نقص امنیتی، میتواند آرگومان timeZone در تابع FUN_0044db3c موجود در فایل /goform/fast_setting_wifi_set را دستکاری کند و منجر به سرریز بافر مبتنی بر پشته شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله با سطح دسترسی پایین و بدون تایید کاربر انجام میشود(PR:L/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:H/A:H)
محصولات تحت تأثیر
محصول AC10 16.03.10.13 تحت تاثیر این آسیبپذیری قرارگرفته است.
توصیه امنیتی
تا کنون هیچ راهکار مناسبی جهت رفع این آسیبپذیری ارائه نشده است. به کاربران توصیه میشود در صورت انتشار نسخه های بالاتر، نسخه های آسیبپذیر را به آن وصله کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10958
[2]https://vuldb.com/?id.283807
- 72