Vulnerabilidades

El dispositivo Android ZTE ZMAX Champ con una huella digital ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.zte.zdm.sdm (versionCode=31, versionName=V5.0.3) con un componente de app de recibidor de transmisiones exportado llamado com.zte.zdm.VdmcBroadcastReceiver que permite que cualquier app que también esté en el dispositivo inicie de forma programática una restauración de fábrica. Además, la app que inicia la restauración de fábrica no necesita ningún permiso. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de una app preinstalada de la plataforma.

El dispositivo Android ZTE ZMAX Champ con una huella digital ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.zte.hiddenmenu (versionCode=23, versionName=6.0.1) con un componente de app de recibidor de transmisiones exportado llamado com.android.zte.hiddenmenu.CommandReceiver que es accesible a cualquier app que también esté en el dispositivo. Este componente de la app, cuando recibe un intent de transmisión con cierta cadena de acción, escribirá un comando no estándar (esto es, no definido en el código AOSP o Android Open Source Project) en el archivo /cache/recovery/command para que sea ejecutado en modo recovery. Una vez el dispositivo arranca en modo recovery, se cerrará inesperadamente, arrancará en modo recovery y se cerrará inesperadamente de nuevo. Este bucle de cierres inesperados seguirá repitiéndose, lo que hace que el dispositivo no pueda ser empleado. No hay forma de arrancar en un modo alternativo una vez comienza este bucle de cierres inesperados.

El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que registra dinámicamente un componente de app de recepción de transmisiones llamado com.android.server.MasterClearReceiver, en lugar de registrarlo estáticamente en el archivo AndroidManifest.xml del paquete core de Android, tal y como se realiza en el código de Android Open Source Project (AOSP) para Android 4.4.2. El registro dinámico del componente de app de recepción de transmisiones MasterClearReceiver no está protegido con el permiso android.permission.MASTER_CLEAR durante el registro, por lo que cualquier app que esté en el dispositivo, incluso las que no tienen permisos, pueden iniciar programáticamente un reinicio de fábrica del dispositivo. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de un proceso core de Android.

El dispositivo Android ASUS ZenFone 3 Max con una huella digital de asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys contiene una app de plataforma preinstalada de nombre com.asus.dm (versionCode=1510500200, versionName=1.5.0.40_171122) que tiene una interfaz expuesta en un servicio exportado llamado com.asus.dm.installer.DMInstallerService que permite que cualquier app ubicada en el dispositivo emplee sus capacidades para descargar una app arbitraria por Internet y la instale. Cualquier app del dispositivo puede enviar un intent con datos específicamente embebidos que provocará que la app com.asus.dm descargue e instale programáticamente la app. Para que la app sea descargada e instalada, deben proporcionarse ciertos datos: URL de descarga, nombre del paquete, nombre de la versión del archivo AndroidManifest.xml de la app y el hash MD5 de la app. Además, cualquier app instalada mediante este método también puede desinstalarse programáticamente mediante el mismo componente sin proteger llamado com.asus.dm.installer.DMInstallerService.

Se ha descubierto un problema en versiones anteriores a la 7.27 de NuttX. La función netlib_parsehttpurl() en apps/netutils/netlib/netlib_parsehttpurl.c gestiona de manera incorrecta las URL más largas que los bytes de hostlen (en el cliente web, esto se establece por defecto en 40), conduciendo a un bucle infinito. El vector de ataque es la cabecera Location de una respuesta HTTP 3xx.

Contiki-NG, en versiones anteriores a la 4.2, tiene un desbordamiento de búfer basado en pila en la función push en os/lib/json/jsonparse.c que permite una escritura fuera de límites de un carácter "{" o "[".

La función mintToken de Pylon (PYLNT), también conocido como PylonToken, un token de Ethereum, tiene un desbordamiento de enteros que permite que el propietario del contrato establezca el balance de un usuario arbitrario en cualquier valor. Esto está relacionado con CVE-2018-11812.

La función mintToken de SwftCoin (SWFTC), también conocido como SwftCoin, un token de Ethereum, tiene un desbordamiento de enteros que permite que el propietario del contrato establezca el balance de un usuario arbitrario en cualquier valor.

La función mintToken de Nexxus (NXX), también conocido como NexxusToken, un token de Ethereum, tiene un desbordamiento de enteros que permite que el propietario del contrato establezca el balance de un usuario arbitrario en cualquier valor.

Los dispositivos Orange Livebox 00.96.320S permiten Cross-Site Request Forgery (CSRF) en cgi-bin/restore.exe, cgi-bin/firewall_SPI.exe, cgi-bin/setup_remote_mgmt.exe, cgi-bin/setup_pass.exe y cgi-bin/upgradep.exe. Esto está relacionado con Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, y Arcadyan ARV7519RW22-A-L T VR9 1.2.

Los dispositivos Orange Livebox 00.96.320S permiten Cross-Site Request Forgery (CSRF) en cgi-bin/autodialing.exe y cgi-bin/phone_test.exe, lo que conduce a llamadas de teléfono salientes a un número de teléfono especificado por el atacante. Esto está relacionado con Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, y Arcadyan ARV7519RW22-A-L T VR9 1.2.

Los dispositivos Orange Livebox 00.96.320S tienen un URI /system_firmwarel.stm no documentado para actualizar el firmware manualmente. Esto está relacionado con Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, y Arcadyan ARV7519RW22-A-L T VR9 1.2.