Tenda W15E 15.11.0.14 /goform/setStaticRoute formSetStaticRoute staticRouteIndex Pufferüberlauf

EintragHistoryjsonxmlCTI

In Tenda W15E 15.11.0.14 wurde eine kritische Schwachstelle gefunden. Dabei geht es um die Funktion formSetStaticRoute der Datei /goform/setStaticRoute. Mit der Manipulation des Arguments staticRouteIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-121. Die Gefahr wurde am 24.04.2024 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-4125 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

-Feld
+.04.2024 10:24
-vendor
+Tenda
-name
+W15E
-version
+.11.0.14
-file
+/goform/setStaticRoute
-function
+formSetStaticRoute
-argument
+staticRouteIndex
-cwe
+(Pufferüberlauf)
-risk
-cvss3_vuldb_av
+N
-cvss3_vuldb_ac
+L
-cvss3_vuldb_ui
+N
-cvss3_vuldb_s
+U
-cvss3_vuldb_c
+H
-cvss3_vuldb_i
+H
-cvss3_vuldb_a
+H
-cvss3_vuldb_e
+P
-cvss3_vuldb_rc
+R
-url
+https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/W15Ev1.0/formSetStaticRoute.md
-availability
-publicity
-url
+https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/W15Ev1.0/formSetStaticRoute.md
-cve
+CVE-2024-4125
-responsible
+VulDB
-response_summary
+The vendor was contacted early about this disclosure but did not respond in any way.
-date
+1713909600 (24.04.2024)
-cvss2_vuldb_av
+N
-cvss2_vuldb_ac
+L
-cvss2_vuldb_ci
+C
-cvss2_vuldb_ii
+C
-cvss2_vuldb_ai
+C
-cvss2_vuldb_e
+POC
-cvss2_vuldb_rc
+UR
-cvss4_vuldb_av
+N
-cvss4_vuldb_ac
+L
-cvss4_vuldb_ui
+N
-cvss4_vuldb_vc
+H
-cvss4_vuldb_vi
+H
-cvss4_vuldb_va
+H
-cvss4_vuldb_e
+P
-cvss2_vuldb_au
+S
-cvss2_vuldb_rl
+ND
-cvss3_vuldb_pr
+L
-cvss3_vuldb_rl
+X
-cvss4_vuldb_at
+N
-cvss4_vuldb_pr
+L
-cvss4_vuldb_sc
+N
-cvss4_vuldb_si
+N
-cvss4_vuldb_sa
+N
-cvss2_vuldb_basescore
+.0
-cvss2_vuldb_tempscore
+.7
-cvss3_vuldb_basescore
+.8
-cvss3_vuldb_tempscore
+.0
-cvss3_meta_basescore
+.8
-cvss3_meta_tempscore
+.0
-cvss4_vuldb_bscore
+.7
-cvss4_vuldb_btscore
+.4
-price_0day
+$0-$5k

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!