Impatto Sistemico

Alto (74.1)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-8060 che interessa i router AC23 di Tenda. Tale vulnerabilità potrebbe permettere ad un utente malevolo l’esecuzione di codice da remoto sui dispositivi target.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-8060 – di tipo “ Stack-Based Buffer Overflow ” e con score CVSS v3.x pari a 8.8 – relativa ai router AC23 di Tenda. Tale vulnerabilità riguarda la funzione sub_46C940 del file /goform/setMacFilterCfg della componente httpd che gestisce la configurazione del filtro MAC attraverso l’interfaccia di amministrazione web: la manipolazione del parametro deviceList con parametri opportunamente predisposti potrebbe permettere l’esecuzione di codice da remoto sui dispositivi target.

Prodotti e/o versioni affette

Tenda, router AC23 versione 16.03.07.52

Azioni di mitigazione

Si evidenzia che per i prodotti elencati il vendor non rilascerà alcuna patch considerata la relativa data di fine supporto (EOL). Pertanto si raccomanda di valutare la sostituzione del dispositivo con una versione supportata.

Ove tale operazione non sia tempestivamente percorribile, si raccomanda di  isolare i dispositivi interessati:

• disattivando la funzionalità MAC filter via web o UI;
• limitando l’accesso all’interfaccia di gestione da reti non fidate o da Internet pubblica.