Tenda i21 1.0.0.14(4656) formQosManageDouble_auto ssidIndex Pufferüberlauf
Es wurde eine kritische Schwachstelle in Tenda i21 1.0.0.14(4656) gefunden. Es geht dabei um die Funktion formQosManageDouble_auto
. Durch das Manipulieren des Arguments ssidIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-121 vorgenommen. Das Problem wurde am 26.04.2024 publiziert. Bereitgestellt wird das Advisory unter github.com.
Die Identifikation der Schwachstelle wird mit CVE-2024-4246 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten.
Er wird als nicht definiert gehandelt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Feld | 26.04.2024 14:46 |
---|---|
vendor | Tenda |
name | i21 |
version | 1.0.0.14(4656) |
function | formQosManageDouble_auto |
argument | ssidIndex |
cwe | 121 (Pufferüberlauf) |
risk | 2 |
cvss3 | N |
cvss3 | L |
cvss3 | N |
cvss3 | U |
cvss3 | H |
cvss3 | H |
cvss3 | H |
cvss3 | R |
url | https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/i/i21/formQosManageDouble_user.md |
cve | CVE-2024-4246 |
responsible | VulDB |
response | The vendor was contacted early about this disclosure but did not respond in any way. |
date | 1714082400 (26.04.2024) |
cvss2 | N |
cvss2 | L |
cvss2 | C |
cvss2 | C |
cvss2 | C |
cvss2 | UR |
cvss4 | N |
cvss4 | L |
cvss4 | N |
cvss4 | H |
cvss4 | H |
cvss4 | H |
cvss2 | S |
cvss2 | ND |
cvss2 | ND |
cvss3 | L |
cvss3 | X |
cvss3 | X |
cvss4 | N |
cvss4 | L |
cvss4 | N |
cvss4 | N |
cvss4 | N |
cvss4 | X |
cvss2 | 9.0 |
cvss2 | 8.6 |
cvss3 | 8.8 |
cvss3 | 8.5 |
cvss3 | 8.8 |
cvss3 | 8.5 |
cvss4 | 8.7 |
cvss4 | 8.7 |
price | $0-$5k |