Tenda FH1202 1.2.0.14(408) /goform/execCommand formexeCommand cmdinput Pufferüberlauf
Eine Schwachstelle wurde in Tenda FH1202 1.2.0.14(408) entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion formexeCommand
der Datei /goform/execCommand. Dank Manipulation des Arguments cmdinput mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-121. Die Schwachstelle wurde am 27.03.2024 herausgegeben. Bereitgestellt wird das Advisory unter github.com.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2024-2980 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von github.com geschehen. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.