Tenda FH1202 1.2.0.14(408) /goform/SetClientState formSetClientState deviceId/limitSpeed/limitSpeedUp Pufferüberlauf
Eine Schwachstelle wurde in Tenda FH1202 1.2.0.14(408) gefunden. Sie wurde als kritisch eingestuft. Dies betrifft die Funktion formSetClientState
der Datei /goform/SetClientState. Durch Manipulation des Arguments deviceId/limitSpeed/limitSpeedUp mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-121. Der Fehler wurde am 27.03.2024 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden.
Die Identifikation der Schwachstelle findet als CVE-2024-2983 statt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.