Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09486

Опубликовано: 27 янв. 2025
Источник: fstec
CVSS3: 6.4
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции UPDM_wstpCBCUpdStart() автомагнитолы Alpine iLX-507 существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в контексте root-пользователя

Вендор

Alpine, Inc.

Наименование ПО

Alpine iLX-507

Версия ПО

- (Alpine iLX-507)

Тип ПО

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.0005
Низкий

6.4 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-8473

CVSS3: 6.6
nvd
около 1 месяца назад

Alpine iLX-507 UPDM_wstpCBCUpdStart Command Injection Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Alpine iLX-507 devices. Authentication is not required to exploit this vulnerability. The specific flaw exists within the UPDM_wstpCBCUpdStart function. The issue results from the lack of proper validation of user-supplied data before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-26317.

github логотип

GHSA-99rf-9fx6-652g

CVSS3: 6.4
github
около 1 месяца назад

Alpine iLX-507 UPDM_wstpCBCUpdStart Command Injection Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Alpine iLX-507 devices. Authentication is not required to exploit this vulnerability. The specific flaw exists within the UPDM_wstpCBCUpdStart function. The issue results from the lack of proper validation of user-supplied data before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-26317.

EPSS

Процентиль: 15%
0.0005
Низкий

6.4 Medium

CVSS3

6.8 Medium

CVSS2