Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ZTE routers (CVE-2024-45415)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-121 Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
16/09/2024
Última modificación:
20/09/2024

Descripción

El binario HTTPD en varios ZTE routers tiene una vulnerabilidad de desbordamiento de búfer basada en pila en la función check_data_integrity. Esta función es responsable de validar la suma de comprobación de los datos en la solicitud posterior. La suma de comprobación se envía cifrada en la solicitud, la función la descifra y almacena la suma de comprobación en la pila sin validarla. Un atacante no autenticado puede obtener RCE como superusuario explotando esta vulnerabilidad.

Referencias a soluciones, herramientas e información