Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11082

Опубликовано: 12 янв. 2023
Источник: fstec
CVSS3: 6.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость компонента DeviceManager платформы для автомобильных приложений Visteon Infotainment связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный SQL-код в контексте root

Вендор

Visteon

Наименование ПО

Infotainment

Версия ПО

74.00.324A (Infotainment)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение физического доступа к устройству.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00108
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-8355

CVSS3: 6.8
nvd
около 1 года назад

Visteon Infotainment System DeviceManager iAP Serial Number SQL Injection Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Visteon Infotainment system. Authentication is not required to exploit this vulnerability. The specific flaw exists within the DeviceManager. When parsing the iAP Serial number, the process does not properly validate a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-20112.

github логотип

GHSA-6hwj-w495-9pvp

CVSS3: 6.8
github
около 1 года назад

Visteon Infotainment System DeviceManager iAP Serial Number SQL Injection Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Visteon Infotainment system. Authentication is not required to exploit this vulnerability. The specific flaw exists within the DeviceManager. When parsing the iAP Serial number, the process does not properly validate a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-20112.

EPSS

Процентиль: 29%
0.00108
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2