CVE-2025-5629: Tenda AC10 HTTP SetPptpServerCfg formSetPPTPServer buffer overflow

8.7 CVSS

Description

A vulnerability, which was classified as critical, was found in Tenda AC10 up to 15.03.06.47. This affects the function formSetPPTPServer of the file /goform/SetPptpServerCfg of the component HTTP Handler. The manipulation of the argument startIp/endIp leads to buffer overflow. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. Es wurde eine kritische Schwachstelle in Tenda AC10 bis 15.03.06.47 gefunden. Es betrifft die Funktion formSetPPTPServer der Datei /goform/SetPptpServerCfg der Komponente HTTP Handler. Mit der Manipulation des Arguments startIp/endIp mit unbekannten Daten kann eine buffer overflow-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung.

Classification

CVE ID: CVE-2025-5629

CVSS Base Severity: HIGH

CVSS Base Score: 8.7

CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Problem Types

Buffer Overflow Memory Corruption

Affected Products

Vendor: Tenda

Product: AC10

Exploit Prediction Scoring System (EPSS)

EPSS Score: 0.05% (probability of being exploited)

EPSS Percentile: 14.05% (scored less or equal to compared to others)

EPSS Date: 2025-06-05 (when was this score calculated)

References

https://nvd.nist.gov/vuln/detail/CVE-2025-5629
https://vuldb.com/?id.311115
https://vuldb.com/?ctiid.311115
https://vuldb.com/?submit.589424
https://github.com/pfwqdxwdd/cve/blob/main/4.md
https://www.tenda.com.cn/

Timeline

2025-06-05 03:40:16 UTC
CVE

Tenda AC10 HTTP SetPptpServerCfg formSetPPTPServer buffer overflow