卡内基美隆大学所属的电脑网路危机处理暨协调中心（CERT/CC）指出，Microchip进阶软件框架（Advanced Software Framework，ASF）存在可被用于远端执行任意程序码（RCE）的重大层级漏洞CVE-2024-7490，影响3.52.0.2574版以下所有的ASF，4.0版CVSS风险评分为9.5。值得留意的是，因Microchip已不再提供ASF相关支援，将不会对该漏洞进行修补。

这项漏洞存在于tinydhcp服务器元件，发生的原因在于，ASF的DHCP通讯协定实作无法进行输入验证，导致攻击者有机会藉此导致记忆体缓冲区溢位，进而能够远端执行程序码。

细部而言，该漏洞出现于所有公开的ASF程序码基础（codebase）範例当中，攻击者可发送特製的DHCP请求造成记忆体缓冲区溢位，并且触发这项漏洞。

他们也提及这项弱点出现在物联网相关应用的程序码，因此可能会广泛存在许多地方；再者，tinydhcp的分叉（fork）版本也可能容易受到该漏洞的影响。

该如何缓解这个漏洞？CERT/CC认为，将tinydhcp更换成另一个不受影响的元件，有可能达到缓解的效果，但目前尚未发现其他可行做法。