Vulnerabilidad en Syska SW100 Smartwatch (CVE-2022-3007)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

31/10/2023

Última modificación:

03/08/2024

Descripción

** NO COMPATIBLE CUANDO ESTÁ ASIGNADO ** La vulnerabilidad existe en Syska SW100 Smartwatch debido a una implementación y/o configuración incorrecta de la Actualización de firmware del dispositivo nórdico (DFU) que se utiliza para realizar actualizaciones de firmware por aire (OTA) en Bluetooth Low Dispositivos de energía (BLE). Un atacante no autenticado podría aprovechar esta vulnerabilidad estableciendo valores arbitrarios para manejar en el dispositivo vulnerable a través de Bluetooth. La explotación exitosa de esta vulnerabilidad podría permitir al atacante realizar actualizaciones de firmware, reiniciar el dispositivo o manipular datos en el dispositivo objetivo.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:syska:sw100_smartwatch_firmware::::::::		2.0 (incluyendo)
cpe:2.3:h:syska:sw100_smartwatch:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2023-0333