CVE-2026-13515
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
W urządzeniu Tenda JD12L w wersji 16.03.53.23 wykryto podatność polegającą na przepełnieniu bufora stosu w funkcji formSetPPTPServer pliku /goform/SetPptpServerCfg. Manipulacja argumentem startIp umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego przejęcia kontroli nad urządzeniem, co może prowadzić do naruszenia integralności sieci, wycieku danych lub przerwania działania usług.
Rekomendacja
Zaleca się natychmiastowe zastosowanie aktualizacji firmware od producenta, jeśli jest dostępna, lub tymczasowe wyłączenie funkcji PPTP Server oraz ograniczenie dostępu do interfejsu zarządzania tylko z zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
A security vulnerability has been detected in Tenda JD12L 16.03.53.23. Impacted is the function formSetPPTPServer of the file /goform/SetPptpServerCfg. Such manipulation of the argument startIp leads to stack-based buffer overflow. The attack can be launched remotely. The exploit has been disclosed publicly and may be used.

