یک آسیب پذیری با شناسه CVE-2024-4494 و شدت 8.8 (بالا) در Tenda i21 1.0.0.14(4656) کشف شده است که به موجب این آسیب پذیری ، آرگومان pingHostlp2 منجر به سرریز بافر مبتنی بر پشته میشود.
مهاجم میتواند حمله را میتوان از راه دور انجام دهد و به بهرهبرداری از آن دست پیدا کند. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H، بهرهبرداری آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار میگیرند (C:H و I:H و A:N).
محصولات تحت تأثیر
نسخه V1.0.0.14(4656) از i21 Tenda تحت تأثیر آسیبپذیری مذکور قرار دارد که این نقص امنیتی مربوط به تابع form setUplink info از فایل goform/setuplink info میباشد.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت نسبت به ارتقاء i21 Tenda اقدامات لازم را انجام دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-4494
[2]https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/i/i21/formSetUplinkInfo.md