Vulnerabilidad en Visteon Infotainment (CVE-2024-8356)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
22/11/2024
Última modificación:
11/12/2024
Descripción
Vulnerabilidad de escalado de privilegios locales en el código de la MCU VIP de Visteon Infotainment que no permite validar la autenticidad de los datos. Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de los sistemas de Visteon Infotainment. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para explotar esta vulnerabilidad. La falla específica existe dentro del proceso de actualización de firmware del microcontrolador VIP. El proceso no verifica correctamente la autenticidad de la imagen de firmware suministrada antes de programarla en la memoria interna. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de la MCU VIP. Era ZDI-CAN-23758.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:visteon:infotainment:cmu150_na_74.00.324a:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página