Tenda W15E 15.11.0.14 /goform/setStaticRoute formSetStaticRoute staticRouteIndex Pufferüberlauf

In Tenda W15E 15.11.0.14 wurde eine kritische Schwachstelle gefunden. Dabei geht es um die Funktion formSetStaticRoute der Datei /goform/setStaticRoute. Mit der Manipulation des Arguments staticRouteIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-121. Die Gefahr wurde am 24.04.2024 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-4125 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

124

Feld

exploit_price_0day1
vulnerability_cvss4_vuldb_btscore1
vulnerability_cvss4_vuldb_bscore1
vulnerability_cvss3_meta_tempscore1
vulnerability_cvss3_meta_basescore1

Commit Conf

90%31
50%10
70%9
80%7

Approve Conf

90%31
80%26
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertStatusC
1615017324.04.2024VulD...price_0day$0-$5ksee exploit price documentation24.04.2024akzeptiert
80
1615017224.04.2024VulD...cvss4_vuldb_btscore7.4see CVSS documentation24.04.2024akzeptiert
80
1615017124.04.2024VulD...cvss4_vuldb_bscore8.7see CVSS documentation24.04.2024akzeptiert
80
1615017024.04.2024VulD...cvss3_meta_tempscore8.0see CVSS documentation24.04.2024akzeptiert
80
1615016924.04.2024VulD...cvss3_meta_basescore8.8see CVSS documentation24.04.2024akzeptiert
80
1615016824.04.2024VulD...cvss3_vuldb_tempscore8.0see CVSS documentation24.04.2024akzeptiert
80
1615016724.04.2024VulD...cvss3_vuldb_basescore8.8see CVSS documentation24.04.2024akzeptiert
80
1615016624.04.2024VulD...cvss2_vuldb_tempscore7.7see CVSS documentation24.04.2024akzeptiert
80
1615016524.04.2024VulD...cvss2_vuldb_basescore9.0see CVSS documentation24.04.2024akzeptiert
80
1615016424.04.2024VulD...cvss4_vuldb_saNderived from historical data24.04.2024akzeptiert
80
1615016324.04.2024VulD...cvss4_vuldb_siNderived from historical data24.04.2024akzeptiert
80
1615016224.04.2024VulD...cvss4_vuldb_scNderived from historical data24.04.2024akzeptiert
80
1615016124.04.2024VulD...cvss4_vuldb_prLderived from historical data24.04.2024akzeptiert
80
1615016024.04.2024VulD...cvss4_vuldb_atNderived from historical data24.04.2024akzeptiert
80
1615015924.04.2024VulD...cvss3_vuldb_rlXderived from historical data24.04.2024akzeptiert
80
1615015824.04.2024VulD...cvss3_vuldb_prLderived from historical data24.04.2024akzeptiert
80
1615015724.04.2024VulD...cvss2_vuldb_rlNDderived from historical data24.04.2024akzeptiert
80
1615015624.04.2024VulD...cvss2_vuldb_auSderived from historical data24.04.2024akzeptiert
80
1615015524.04.2024VulD...cvss4_vuldb_ePderived from vuldb v3 vector24.04.2024akzeptiert
80
1615015424.04.2024VulD...cvss4_vuldb_vaHderived from vuldb v3 vector24.04.2024akzeptiert
80

37 weitere Einträge werden nicht mehr angezeigt

🔒 Login Required

You need to signup and login to see more of the remaining 37 results.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!