CVE-2013-6282
CVE-2013-6282
Vexday Risk Score
98Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.8EPSS 39.7%KEV simPoC públicaNuclei —Metasploit simPatch referenciado
Ciclo de vida
06 sep 2013Exploit Metasploit disponible
18 nov 2013PoC pública
19 nov 2013Publicada en NVD
15 sep 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla en las funciones de acceso a memoria del kernel Linux en dispositivos ARM permite que atacantes lean o modifiquen la memoria del kernel a través de una aplicación maliciosa. Esto es peligroso porque la memoria del kernel controla todo en el sistema, desde datos de usuarios hasta funciones de seguridad.
Detalle técnico
Las funciones get_user y put_user del kernel Linux <3.5.5 en plataformas ARMv6k y ARMv7 carecen de validación adecuada de direcciones de memoria, habilitando lectura y escritura arbitraria de memoria del kernel desde aplicaciones en espacio de usuario. Esta falla de validación de entrada (CWE-20) permite escalada de privilegios y divulgación de información en sistemas ARM afectados, incluidos dispositivos Android.
Resumen generado y traducido por IA a partir de la descripción oficial.
The (1) get_user and (2) put_user API functions in the Linux kernel before 3.5.5 on the v6k and v7 ARM platforms do not validate certain addresses, which allows attackers to read or modify the contents of arbitrary kernel memory locations via a crafted application, as exploited in the wild against Android devices in October and November 2013.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.