Tenda W30E 1.0.1.25(633) /goform/WriteFacMac formWriteFacMac mac erweiterte Rechte

In Tenda W30E 1.0.1.25(633) wurde eine kritische Schwachstelle gefunden. Hierbei betrifft es die Funktion formWriteFacMac der Datei /goform/WriteFacMac. Mittels dem Manipulieren des Arguments mac mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Die Gefahr wurde am 16.04.2024 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-3880 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1202 für diese Schwachstelle. Er gilt als proof-of-concept. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

141

Feld

vulnerability_cvss3_meta_tempscore2
vulnerability_cvss3_cna_basescore1
vulnerability_cvss2_nvd_basescore1
source_cve_cna1
vulnerability_cvss3_cna_a1

Commit Conf

90%31
70%26
50%12
80%8

Approve Conf

90%31
80%29
70%17
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertStatusC
1642190323.05.2024VulD...cvss3_cna_basescore6.3see CVSS documentation23.05.2024akzeptiert
80
1642190223.05.2024VulD...cvss2_nvd_basescore6.5nist.gov23.05.2024akzeptiert
80
1642190123.05.2024VulD...cvss3_meta_tempscore6.0see CVSS documentation23.05.2024akzeptiert
80
1642190023.05.2024VulD...cve_cnaVulDBnvd.nist.gov23.05.2024akzeptiert
70
1642189923.05.2024VulD...cvss3_cna_aLnvd.nist.gov23.05.2024akzeptiert
70
1642189823.05.2024VulD...cvss3_cna_iLnvd.nist.gov23.05.2024akzeptiert
70
1642189723.05.2024VulD...cvss3_cna_cLnvd.nist.gov23.05.2024akzeptiert
70
1642189623.05.2024VulD...cvss3_cna_sUnvd.nist.gov23.05.2024akzeptiert
70
1642189523.05.2024VulD...cvss3_cna_uiNnvd.nist.gov23.05.2024akzeptiert
70
1642189423.05.2024VulD...cvss3_cna_prLnvd.nist.gov23.05.2024akzeptiert
70
1642189323.05.2024VulD...cvss3_cna_acLnvd.nist.gov23.05.2024akzeptiert
70
1642189223.05.2024VulD...cvss3_cna_avNnvd.nist.gov23.05.2024akzeptiert
70
1642189123.05.2024VulD...cvss2_nvd_aiPnvd.nist.gov23.05.2024akzeptiert
70
1642189023.05.2024VulD...cvss2_nvd_iiPnvd.nist.gov23.05.2024akzeptiert
70
1642188923.05.2024VulD...cvss2_nvd_ciPnvd.nist.gov23.05.2024akzeptiert
70
1642188823.05.2024VulD...cvss2_nvd_auSnvd.nist.gov23.05.2024akzeptiert
70
1642188723.05.2024VulD...cvss2_nvd_acLnvd.nist.gov23.05.2024akzeptiert
70
1642188623.05.2024VulD...cvss2_nvd_avNnvd.nist.gov23.05.2024akzeptiert
70
1642188523.05.2024VulD...cve_nvd_summaryA vulnerability has been found in Tenda W30E 1.0.1.25(633) and classified as critical. This vulnerability affects the function formWriteFacMac of the file /goform/WriteFacMac. The manipulation of the argument mac leads to os command injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-260914 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.cve.mitre.org23.05.2024akzeptiert
70
1642188423.05.2024VulD...cve_assigned1713218400 (16.04.2024)cve.mitre.org23.05.2024akzeptiert
70

57 weitere Einträge werden nicht mehr angezeigt

🔒 Login Required

You need to signup and login to see more of the remaining 57 results.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!