Vulnerabilidad en ZTE routers (CVE-2024-45415)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-121
Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
16/09/2024
Última modificación:
20/09/2024
Descripción
El binario HTTPD en varios ZTE routers tiene una vulnerabilidad de desbordamiento de búfer basada en pila en la función check_data_integrity. Esta función es responsable de validar la suma de comprobación de los datos en la solicitud posterior. La suma de comprobación se envía cifrada en la solicitud, la función la descifra y almacena la suma de comprobación en la pila sin validarla. Un atacante no autenticado puede obtener RCE como superusuario explotando esta vulnerabilidad.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA