BDU:2022-01022

Опубликовано: 03 фев. 2022

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость компонента FvbServicesRuntimeDxe фреймворка для создания UEFI-прошивок InsydeH2O связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Insyde

Наименование ПО

InsydeH2O

Версия ПО

от 5.0 до 5.08.42 (InsydeH2O)

от 5.1 до 5.16.42 (InsydeH2O)

от 5.2 до 5.26.42 (InsydeH2O)

от 5.3 до 5.35.42 (InsydeH2O)

от 5.4 до 5.42.51 (InsydeH2O)

от 5.5 до 5.50.51 (InsydeH2O)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.insyde.com/security-pledge

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-42554
CVE

EPSS

Процентиль: 14%

0.00045

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-42554

CVSS3: 8.2

nvd

около 4 лет назад

An issue was discovered in Insyde InsydeH2O with Kernel 5.0 before 05.08.42, Kernel 5.1 before 05.16.42, Kernel 5.2 before 05.26.42, Kernel 5.3 before 05.35.42, Kernel 5.4 before 05.42.51, and Kernel 5.5 before 05.50.51. An SMM memory corruption vulnerability in FvbServicesRuntimeDxe allows a possible attacker to write fixed or predictable data to SMRAM. Exploiting this issue could lead to escalating privileges to SMM.

GHSA-9hwg-wq94-95pr