Tenda W15E 15.11.0.14 /goform/setStaticRoute formSetStaticRoute staticRouteIndex Pufferüberlauf
In Tenda W15E 15.11.0.14 wurde eine kritische Schwachstelle gefunden. Dabei geht es um die Funktion formSetStaticRoute
der Datei /goform/setStaticRoute. Mit der Manipulation des Arguments staticRouteIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-121. Die Gefahr wurde am 24.04.2024 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-4125 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
37 weitere Einträge werden nicht mehr angezeigt