Tenda i21 1.0.0.14(4656) /goform/wifiSSIDset formwrlSSIDset ssidIndex Pufferüberlauf
In Tenda i21 1.0.0.14(4656) wurde eine kritische Schwachstelle ausgemacht. Das betrifft die Funktion formwrlSSIDset
der Datei /goform/wifiSSIDset. Dank der Manipulation des Arguments ssidIndex mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-121. Die Schwäche wurde am 26.04.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com.
Die Verwundbarkeit wird als CVE-2024-4250 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er wird als proof-of-concept gehandelt. Unter github.com wird der Exploit zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
37 weitere Einträge werden nicht mehr angezeigt