Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10821

Опубликовано: 23 окт. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции websReadEvent микропрограммного обеспеченеия маршрутизаторов Tenda AC связана с разыноменованием указателя NULL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Shenzhen Tenda Technology Co., Ltd.

Наименование ПО

Tenda AC18
Tenda AC1206
Tenda AC8
Tenda AC10
Tenda AC6
Tenda AC7
Tenda AC500
Tenda AC10U
Tenda AC15
Tenda AC9

Версия ПО

15.03.05.19(6318) (Tenda AC18)
15.03.06.23 (Tenda AC1206)
16.03.34.06 (Tenda AC8)
16.03.10.13 (Tenda AC10)
15.03.06.23 (Tenda AC6)
15.03.06.44 (Tenda AC7)
2.0.1.9(1307) (Tenda AC500)
15.03.05.05 (Tenda AC18)
15.03.06.49 (Tenda AC10U)
15.03.06.48 (Tenda AC10U)
15.03.05.18 (Tenda AC15)
16.03.10.20 (Tenda AC10)
15.03.05.19 (Tenda AC15)
16.03.34.09 (Tenda AC8)
16.03.48.23 (Tenda AC10)
16.03.48.19 (Tenda AC10)
15.03.06.42 (Tenda AC9)
15.03.05.19(6318_) (Tenda AC9)
15.03.05.14 (Tenda AC9)
15.03.2.13 (Tenda AC9)
1.0.0.16 (Tenda AC500)
1.0.0.14 (Tenda AC500)

Тип ПО

Сетевое средство
Микропрограммный код
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 7,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- сегментирование сети для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.0039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-10280

CVSS3: 6.5
nvd
10 месяцев назад

A vulnerability was found in Tenda AC6, AC7, AC8, AC9, AC10, AC10U, AC15, AC18, AC500 and AC1206 up to 20241022. It has been rated as problematic. This issue affects the function websReadEvent of the file /goform/GetIPTV. The manipulation of the argument Content-Length leads to null pointer dereference. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.

github логотип

GHSA-xvqq-m3qc-q58j

CVSS3: 6.5
github
10 месяцев назад

A vulnerability was found in Tenda AC6, AC7, AC8, AC9, AC10, AC10U, AC15, AC18, AC500 and AC1206 up to 20241022. It has been rated as problematic. This issue affects the function websReadEvent of the file /goform/GetIPTV. The manipulation of the argument Content-Length leads to null pointer dereference. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.

EPSS

Процентиль: 59%
0.0039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2