📄 Description (English)
A vulnerability has been found in Tenda F1202 1.2.0.20(408). Affected is the function fromPPTPUserSetting of the file /goform/PPTPUserSetting. Such manipulation of the argument delno leads to stack-based buffer overflow. The attack may be performed from remote. The exploit has been disclosed to the public and may be used.
🤖 AI Executive Summary
A critical stack-based buffer overflow vulnerability exists in Tenda F1202 router firmware version 1.2.0.20(408) affecting the PPTP user settings function. The vulnerability allows remote attackers to execute arbitrary code by manipulating the 'delno' parameter, with a CVSS score of 8.8. No patch is currently available, making immediate mitigation essential for Saudi organizations relying on this router model.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 28, 2026 19:03
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi telecommunications providers (STC, Mobily, Zain), government agencies, and small-to-medium enterprises using Tenda F1202 routers for network connectivity. Banking sector organizations and ARAMCO subsidiaries utilizing these routers for branch/facility connectivity face potential data exfiltration and network compromise. Healthcare facilities and educational institutions in Saudi Arabia using this equipment are at risk of service disruption and patient data exposure. The lack of available patches elevates risk for critical infrastructure segments.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Banking and Financial Services
Government and Public Administration
Energy (ARAMCO and subsidiaries)
Healthcare
Education
Small and Medium Enterprises (SMEs)
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Tenda F1202 devices running firmware 1.2.0.20(408) in your network using asset discovery tools
2. Isolate affected routers from critical network segments if possible, or implement network segmentation
3. Disable PPTP functionality if not operationally required
4. Restrict remote access to router management interfaces (disable WAN-side access to admin panel)
5. Monitor for exploitation attempts targeting /goform/PPTPUserSetting endpoint
PATCHING GUIDANCE:
- Contact Tenda support immediately for firmware updates beyond 1.2.0.20(408)
- Check Tenda's official website regularly for security patches
- Establish firmware update schedule once patches become available
COMPENSATING CONTROLS:
- Implement Web Application Firewall (WAF) rules to block requests to /goform/PPTPUserSetting with suspicious 'delno' parameters
- Deploy intrusion detection/prevention systems (IDS/IPS) with signatures for buffer overflow attempts
- Implement strict input validation at network perimeter
- Enable router access logs and forward to SIEM for analysis
- Restrict PPTP protocol at firewall level if not essential
DETECTION RULES:
- Monitor for HTTP POST requests to /goform/PPTPUserSetting with abnormally long 'delno' parameter values (>256 bytes)
- Alert on any remote access attempts to router management interface
- Track firmware version changes and unauthorized configuration modifications
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة Tenda F1202 التي تعمل بالإصدار 1.2.0.20(408) في شبكتك باستخدام أدوات اكتشاف الأصول
2. عزل أجهزة التوجيه المتأثرة عن القطاعات الحرجة في الشبكة إن أمكن، أو تطبيق تقسيم الشبكة
3. تعطيل وظيفة PPTP إذا لم تكن مطلوبة تشغيلياً
4. تقييد الوصول البعيد إلى واجهات إدارة جهاز التوجيه (تعطيل الوصول من جانب WAN إلى لوحة المسؤول)
5. مراقبة محاولات الاستغلال التي تستهدف نقطة نهاية /goform/PPTPUserSetting
إرشادات التصحيح:
- الاتصال بدعم Tenda فوراً للحصول على تحديثات البرامج الثابتة بعد الإصدار 1.2.0.20(408)
- التحقق من الموقع الرسمي لـ Tenda بانتظام للحصول على تصحيحات الأمان
- إنشاء جدول زمني لتحديث البرامج الثابتة بمجرد توفر التصحيحات
الضوابط البديلة:
- تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات إلى /goform/PPTPUserSetting بمعاملات 'delno' مريبة
- نشر أنظمة كشف/منع الاختراق (IDS/IPS) مع توقيعات لمحاولات تجاوز المخزن المؤقت
- تطبيق التحقق الصارم من صحة المدخلات على محيط الشبكة
- تفعيل سجلات وصول جهاز التوجيه وإعادة توجيهها إلى SIEM للتحليل
- تقييد بروتوكول PPTP على مستوى جدار الحماية إذا لم يكن ضرورياً
قواعد الكشف:
- مراقبة طلبات HTTP POST إلى /goform/PPTPUserSetting بقيم معامل 'delno' طويلة بشكل غير طبيعي (>256 بايت)
- تنبيه عند محاولات الوصول البعيد إلى واجهة إدارة جهاز التوجيه
- تتبع تغييرات إصدار البرامج الثابتة والتعديلات على الإعدادات غير المصرح بها
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.12.2.1 - Monitoring and logging of network activities
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset Management and Vulnerability Assessment
SAMA CSF PR.IP-12 - Security patch management
SAMA CSF DE.CM-1 - Detection and monitoring of anomalous activities
🟡 ISO 27001:2022
ISO 27001:2022 A.12.2.1 - Monitoring and logging
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.14.2.1 - Secure development and change management
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patch management
PCI DSS 11.2 - Vulnerability scanning and assessment
🔗 References & Sources 5