Es wurde eine kritische Schwachstelle in Tenda W15E 15.11.0.14 entdeckt. Betroffen hiervon ist die Funktion formQOSRuleDel
. Durch das Beeinflussen des Arguments qosIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-121 vorgenommen. Die Schwachstelle wurde am 24.04.2024 publik gemacht. Das Advisory kann von github.com heruntergeladen werden.
Die Verwundbarkeit wird unter CVE-2024-4121 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet.
Er gilt als nicht definiert. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.