Vulnerabilidad en Tesla Model 3 (CVE-2025-2082)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-190 Desbordamiento o ajuste de enteros

Fecha de publicación:

30/04/2025

Última modificación:

02/05/2025

Descripción

Vulnerabilidad de ejecución remota de código por desbordamiento de enteros en el VCSEC del Tesla Model 3. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en los vehículos Tesla Model 3 afectados. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el módulo VCSEC. Al manipular la respuesta del certificado enviada desde el Tire Pressure Monitoring System (TPMS), un atacante puede provocar un desbordamiento de enteros antes de escribir en memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del módulo VCSEC y enviar mensajes arbitrarios al bus CAN del vehículo. Anteriormente, se denominaba ZDI-CAN-23800.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-25-265/