CVE-2024-41889

Опубликовано: 05 авг. 2024

Источник: nvd

CVSS3: 9.8

CVSS3: 8.8

EPSS Низкий

Уязвимость выполнения произвольного кода в Pimax продуктах из-за некорректной обработки WebSocket-подключений от непредусмотренных конечных точек

Описание

Несколько продуктов Pimax принимают WebSocket-подключения от непредусмотренных конечных точек. При эксплуатации данной уязвимости злоумышленник, не прошедший аутентификацию, может выполнить произвольный код удаленно.

Тип уязвимости

Выполнение произвольного кода

Ссылки

https://github.com/OpenMAR/PiTool
Product
https://jvn.jp/en/jp/JVN50850706/
Third Party Advisory
https://pimax.com/pages/downloads-manuals
Product

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pimax:pitool:-:*:*:*:*:*:*:*

cpe:2.3:a:pimax:play:*:*:*:*:*:*:*:*

Версия до 1.21.01 (исключая)

EPSS

Процентиль: 80%

0.01334

Низкий

9.8 Critical

CVSS3

8.8 High

CVSS3

Дефекты

NVD-CWE-Other

CWE-923

Связанные уязвимости

GHSA-w762-77xf-823w

CVSS3: 8.8

github

больше 1 года назад

Multiple Pimax products accept WebSocket connections from unintended endpoints. If this vulnerability is exploited, arbitrary code may be executed by a remote unauthenticated attacker.

BDU:2024-06580

CVSS3: 9.8

fstec

больше 1 года назад

Уязвимость реализации протокола WebSocket приложения для запуска и управления играми Pimax Play и программного обеспечения для настройки и калибровки VR-арнитур PiTool, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 80%

0.01334

Низкий

9.8 Critical

CVSS3

8.8 High

CVSS3

Дефекты

NVD-CWE-Other

CWE-923