Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el procesamiento de las actualizaciones de firmware inalámbricas desde el servidor CDN en SimpleLink Wi-Fi (CVE-2021-22673)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
07/05/2021
Última modificación:
17/05/2021

Descripción

El producto afectado es vulnerable a un desbordamiento del búfer en la región stack de la memoria mientras procesa actualizaciones de firmware inalámbricas desde el servidor CDN, lo que puede permitir a un atacante ejecutar código remotamente en SimpleLink Wi-Fi (MSP432E4 SDK: versiones v4.20.00.12 y anteriores, CC32XX SDK versiones v4.30.00.06 y anteriores, CC13X0 SDK versiones anteriores a v4.10.03, CC13X2 y CC26XX SDK versiones anteriores a v4.40.00, CC3200 SDK versiones v1.5.0 y anteriores, CC3100 SDK versiones v1.3.0 y anteriores)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ti:cc3100_software_development_kit:*:*:*:*:*:*:*:* 1.3.0 (incluyendo)
cpe:2.3:a:ti:cc3200_software_development_kit:*:*:*:*:*:*:*:* 1.5.0 (incluyendo)
cpe:2.3:a:ti:simplelink_cc13x0_software_development_kit:*:*:*:*:*:*:*:* 4.10.03 (excluyendo)
cpe:2.3:a:ti:simplelink_cc13x2_software_development_kit:*:*:*:*:*:*:*:* 4.40.00 (excluyendo)
cpe:2.3:a:ti:simplelink_cc26xx_software_development_kit:*:*:*:*:*:*:*:* 4.40.00 (excluyendo)
cpe:2.3:a:ti:simplelink_cc32xx_software_development_kit:*:*:*:*:*:*:*:* 4.30.00.06 (incluyendo)
cpe:2.3:a:ti:simplelink_msp432e4_software_development_kit:*:*:*:*:*:*:*:* 4.20.00.12 (incluyendo)


Referencias a soluciones, herramientas e información