Vulnerabilidad en teléfonos móviles de Huawei (CVE-2018-7947)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

31/07/2018

Última modificación:

04/10/2018

Descripción

Los teléfonos móviles Huawei con versiones anteriores a Emily-AL00A 8.1.0.153(C00) tienen una vulnerabilidad de omisión de autenticación. Un atacante puede engañar a un usuario para que se conecte a un dispositivo malicioso. En el modo de depuración, el software malicioso en el dispositivo podría explotar la vulnerabilidad para omitir algunas funciones específicas. Su explotación con éxito podría provocar que algunas aplicaciones se instalen en los teléfonos móviles.

Impacto

Vector 3.x

CVSS:3.0/AV:P/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.90 BAJA
Vector: CVSS:3.0/AV:P/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

3.90

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: AV:L/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

4.40

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:huawei:emily-al00a_firmware::::::::		8.1.0.153\(c00\) (excluyendo)
cpe:2.3:h:huawei:emily-al00a:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180720-01-mobile-en