CVE-2025-7544
Mis à jour :
Vulnérabilité Critique sur Tenda AC1206
Une faille de sécurité critique a été identifiée dans le routeur Tenda AC1206, version 15.03.06.23. La vulnérabilité, référencée sous le code CVE-2025-7544, concerne la fonction formSetMacFilterCfg située dans le fichier /goform/setMacFilterCfg.
Une manipulation de l’argument deviceList peut entraîner un dépassement de tampon basé sur la pile (stack-based buffer overflow). Cette attaque peut être lancée à distance. L’exploitation de cette faille est rendue publique et peut donc être utilisée.
Les scores de risque associés sont élevés :
- CVSS 4.0: Score de base de 7.4, avec un vecteur indiquant une exploitation réseau, sans effort, sans privilèges requis, sans interaction utilisateur, et un impact critique sur la confidentialité, l’intégrité et la disponibilité.
- CVSS 3.1: Score de base de 8.8 (High), avec un impact et une exploitabilité significatifs.
- CVSS 2.0: Score de base de 9 (High), avec un impact et une exploitabilité également considérés comme très élevés.
L’article mentionne également plusieurs autres vulnérabilités similaires découvertes sur le même modèle de routeur Tenda AC1206, affectant diverses fonctions et présentant des risques de dépassement de tampon ou d’injection de commande, toutes pouvant être exploitées à distance et dont les exploits sont rendus publics.
Aucune recommandation spécifique de correction n’est explicitement détaillée dans cet extrait, mais la nature critique de la vulnérabilité suggère la nécessité d’une mise à jour du micrologiciel du routeur dès que disponible.