CVE-2026-7098
Descripción de la Vulnerabilidad
Una vulnerabilidad crítica fue detectada en el modelo Tenda F456 1.0.0.5, relacionada con la función
fromDhcpListClient del componente httpd. El fallo permite un
buffer overflow al manipular el argumento
page, lo que podría ser explotado remota y llevar a consecuencias graves. Este tipo de vulnerabilidades permite a atacantes ejecutar código malicioso o comprometer sistemas sin necesidad de autenticación.
Sistemas Afectados
El modelo Tenda F456 1.0.0.5 es el único sistema afectado, específicamente la función
fromDhcpListClient ubicada en el archivo
/goform/DhcpListClient del componente httpd. Este fallo no se limita a dispositivos particulares, pero su impacto podría extenderse a equipos con configuraciones similares.
Impacto y Explotabilidad
La vulnerabilidad tiene un
CVSS Score de 8.8 (HIGH), lo que indica un riesgo significativo. El ataque puede ser iniciado remotamente, sin necesidad de credenciales adicionales, lo que facilita su explotación. La manipulación del parámetro
page permite un overflow de búfer, lo cual puede resultar en la ejecución no autorizada de código o la modificación de datos críticos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación y Parches
La empresa Tenda ha anunciado que un parche fue publicado para resolver este fallo. Los usuarios se recomiendan actualizar a la versión más reciente del dispositivo o aplicar el parche disponible en su sitio oficial. En ausencia de detalles específicos, se sugiere revisar las actualizaciones oficiales y reforzar la seguridad mediante prácticas de gestión de dispositivos.