BDU:2023-02230

Опубликовано: 10 апр. 2023

Источник: fstec

CVSS3: 7.9

CVSS2: 6.1

EPSS Низкий

Описание

Уязвимость компонента ChipsetSvcSmm фреймворка для создания UEFI-прошивок InsydeH2O связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать повреждение памяти

Вендор

Insyde

Наименование ПО

InsydeH2O

Версия ПО

5.44.45.0028 (InsydeH2O)

5.44.45.0015 (InsydeH2O)

5.44.34.0054 (InsydeH2O)

5.42.52.0026 (InsydeH2O)

5.43.12.0056 (InsydeH2O)

5.43.01.0026 (InsydeH2O)

- (InsydeH2O)

5.44.23.0047 (InsydeH2O)

- (InsydeH2O)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.insyde.com/security-pledge/SA-2023020

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-22614
CVE

EPSS

Процентиль: 40%

0.00179

Низкий

7.9 High

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

CVE-2023-22614

CVSS3: 8.8

nvd

почти 3 года назад

An issue was discovered in ChipsetSvcSmm in Insyde InsydeH2O with kernel 5.0 through 5.5. There is insufficient input validation in BIOS Guard updates. An attacker can induce memory corruption in SMM by supplying malformed inputs to the BIOS Guard SMI handler.

GHSA-7x7c-2rvc-69fh