Vulnerabilidad en 0x49 de Insyde IHISI (CVE-2024-39707)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

14/11/2024

Última modificación:

27/11/2024

Descripción

La función 0x49 de Insyde IHISI puede restaurar los valores predeterminados de fábrica para ciertas variables UEFI sin autenticación adicional de forma predeterminada, lo que podría provocar un posible ataque de reversión en ciertas plataformas. Esto se solucionó en: kernel 5.2, versión 05.29.19; kernel 5.3, versión 05.38.19; kernel 5.4, versión 05.46.19; kernel 5.5, versión 05.54.19; kernel 5.6, versión 05.61.19.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.insyde.com/security-pledge/SA-2024007