یک آسیب‌ پذیری با شناسه CVE-2024-4494 و شدت 8.8 (بالا) در Tenda i21 1.0.0.14(4656) کشف شده است که به موجب این آسیب‌ پذیری ، آرگومان pingHostlp2 منجر به سرریز بافر مبتنی بر پشته می‌شود.

مهاجم می‌تواند حمله را می‌توان از راه دور انجام دهد و به بهره‌برداری از آن دست پیدا کند. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:N).

محصولات تحت تأثیر
نسخه V1.0.0.14(4656) از i21 Tenda تحت تأثیر آسیب‌پذیری مذکور قرار دارد که این نقص امنیتی مربوط به تابع form setUplink info از فایل goform/setuplink info می‌باشد.

توصیه امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء i21 Tenda اقدامات لازم را انجام دهند.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-4494
[2]https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/i/i21/formSetUplinkInfo.md