Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los parámetros portMappingServer, portMappingProtocol, portMappingWan, porMappingtInternal y portMappingExternal en la función formSetPortMapping con la petición /goform/setPortMapping/ en el router Tenda W20E (CVE-2022-40855)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
23/09/2022
Última modificación:
22/05/2025

Descripción

El router Tenda W20E versión V15.11.0.6, contiene un desbordamiento de pila en la función formSetPortMapping con la petición /goform/setPortMapping/. Esta vulnerabilidad permite a atacantes causar una Denegación de Servicio (DoS) o una Ejecución de Código Remota (RCE) por medio de los parámetros portMappingServer, portMappingProtocol, portMappingWan, porMappingtInternal y portMappingExternal.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:tenda:w20e_firmware:15.11.0.6:*:*:*:*:*:*:*
cpe:2.3:h:tenda:w20e:-:*:*:*:*:*:*:*