CVE-2024-40083
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 - wyżej niż 31% wszystkich znanych CVE
Streszczenie
Podatność przepełnienia bufora w funkcji local_app_set_router_token systemu Vilo 5 Mesh WiFi w wersji 5.16.1.33 i wcześniejszych. Zdalny, nieuwierzytelniony atakujący może wykonać dowolny kod poprzez odczyt pól token i timezone z JSON za pomocą sscanf do bufora o stałej długości.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego przejęcia kontroli nad urządzeniem mesh WiFi bez uwierzytelnienia, co może prowadzić do naruszenia integralności sieci, przechwycenia ruchu lub dalszych ataków na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania sprzętowego systemu Vilo 5 Mesh WiFi do wersji nowszej niż 5.16.1.33, jeśli dostępna, lub zastosowanie tymczasowych zabezpieczeń sieciowych ograniczających dostęp do interfejsu zarządzania.
Oryginalny opis (angielski, źródło NVD)
A Buffer Overflow vulnerabilty in the local_app_set_router_token function of Vilo 5 Mesh WiFi System <= 5.16.1.33 allows remote, unauthenticated attackers to execute arbitrary code via sscanf reading the token and timezone JSON fields into a fixed-length buffer.

