CVE-2025-36755

CleverDisplay BlueOne unauthorized BIOS access through physical USB keyboard

CVSS 2.4 LOWEPSS 0.1%CWE-1191 CWE-1244

Em resumo

O reprodutor de mídia CleverDisplay BlueOne pode ter seu gabinete protetor removido para acessar uma porta USB, permitindo que alguém conecte um teclado e visualize (mas não altere) suas configurações de BIOS durante a inicialização. Isso expõe algumas informações internas do sistema, mas não permite que invasores danifiquem ou desabilitem o dispositivo.

Detalhe técnico

Após a remoção física do gabinete protetor do dispositivo, um atacante com acesso direto ao hardware pode conectar um teclado USB e pressionar ESC durante a inicialização para acessar a interface de configuração de BIOS em modo somente leitura, expondo dados de configuração interna do sistema (CWE-1244). Nenhuma modificação de configurações de BIOS ou comprometimento da integridade ou disponibilidade do sistema é possível em condições normais de operação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The CleverDisplay BlueOne hardware player is designed with its USB interfaces physically enclosed and inaccessible under normal operating conditions. Researchers demonstrated that, after cicumventing the device’s protective enclosure, it was possible to connect a USB keyboard and press ESC during boot to access the BIOS setup interface. BIOS settings could be viewed but not modified. This behavior slightly increases the attack surface by exposing internal system information (CWE-1244) once the enclosure is removed, but does not allow integrity or availability compromise under standard or tested configurations.

CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/S:N/AU:N/V:D/RE:L/U:Green

Produtos afetados

CleverDisplay B.V. · BlueOne (CleverDisplay Hardware Player)

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://csirt.divd.nl/CVE-2025-5743/https://csirt.divd.nl/DIVD-2025-00043