Tenda W30E 1.0.1.25(633) /goform/WriteFacMac formWriteFacMac mac erweiterte Rechte
In Tenda W30E 1.0.1.25(633) wurde eine kritische Schwachstelle gefunden. Hierbei betrifft es die Funktion formWriteFacMac
der Datei /goform/WriteFacMac. Mittels dem Manipulieren des Arguments mac mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Die Gefahr wurde am 16.04.2024 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-3880 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1202 für diese Schwachstelle.
Er gilt als proof-of-concept. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
57 weitere Einträge werden nicht mehr angezeigt