Vulnerabilidad en Insyde InsydeH2O (CVE-2024-52878)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/05/2025
Última modificación:
15/08/2025
Descripción
Se detectó un problema en Insyde InsydeH2O con kernel 5.2 anterior a la versión 05.29.50, kernel 5.3 anterior a la versión 05.38.50, kernel 5.4 anterior a la versión 05.46.50, kernel 5.5 anterior a la versión 05.54.50, kernel 5.6 anterior a la versión 05.61.50 y kernel 5.7 anterior a la versión 05.70.50. En el controlador VariableRuntimeDxe, se puede llamar a VariableServicesSetVariable() mediante gRT_>SetVariable(), SmmSetSensitiveVariable() o SmmInternalSetVariable() desde SMM. En VariableServicesSetVariable(), se utiliza StrSize() para obtener el tamaño del nombre de la variable, StrLen() para obtener la longitud del nombre de la variable y StrCmp() para comparar cadenas. Estas acciones pueden provocar una sobrelectura del búfer.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.2 (incluyendo) | 5.2.05.29.50 (excluyendo) |
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.3 (incluyendo) | 5.3.05.38.50 (excluyendo) |
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.4 (incluyendo) | 5.4.05.46.50 (excluyendo) |
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.5 (incluyendo) | 5.5.05.54.50 (excluyendo) |
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.6 (incluyendo) | 5.6.05.61.50 (excluyendo) |
| cpe:2.3:a:insyde:insydeh2o:*:*:*:*:*:*:*:* | 5.7 (incluyendo) | 5.7.05.70.50 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página