Vulnerabilidad en una tabla de partición en el firmware de los sensores de huellas dactilares de la familia Synaptics VFS75xx (CVE-2019-18618)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/07/2020

Última modificación:

30/07/2020

Descripción

Un control de acceso incorrecto en el firmware de los sensores de huellas dactilares de la familia Synaptics VFS75xx que incluye flash externo (todas las versiones anteriores al 15/11/2019) permite a un administrador local o atacante físico comprometer la confidencialidad de los datos del sensor por medio de una inyección de una tabla de partición no verificada

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.00

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.60 BAJA
Vector: AV:L/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

3.60

Gravedad 2.0

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.5.51:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.337.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.3507.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.320.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.524.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.3109.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.3530.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.5024.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.3.3541.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.4.1116:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.8.1092:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.10.1100:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.10.1106:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.17.1099:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.17.1102:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.5.51:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.337.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.1.3507.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.320.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.524.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.3109.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.3530.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.2.5024.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.3.3541.26:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.4.1116:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.8.1092:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.10.1100:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.10.1106:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.17.1099:::::::*
cpe:2.3:o:synaptics:vfs75xx_firmware:5.5.17.1102:::::::*

Vulnerabilidad en una tabla de partición en el firmware de los sensores de huellas dactilares de la familia Synaptics VFS75xx (CVE-2019-18618)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información