CVE-2024-23922
Sony XAV-AX5500 Insufficient Firmware Update Validation Remote Code Execution Vulnerability
Em resumo
O head unit automotivo Sony XAV-AX5500 não valida corretamente as atualizações de firmware, permitindo que um atacante com acesso físico instale código malicioso e controle o dispositivo sem precisar de senha.
Detalhe técnico
A vulnerabilidade reside no mecanismo de atualização de firmware devido à falta de validação adequada dos pacotes de atualização (CWE-345). Um atacante com acesso físico pode explorar isso para executar código arbitrário com privilégios do dispositivo; nenhuma autenticação é necessária, tornando-a explorável durante o processo de atualização.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Sony XAV-AX5500 Insufficient Firmware Update Validation Remote Code Execution Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Sony XAV-AX5500 devices. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the handling of software updates. The issue results from the lack of proper validation of software update packages. An attacker can leverage this vulnerability to execute code in the context of the device.
Was ZDI-CAN-22939
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Sony · XAV-AX5500PoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/52143não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →