Vulnerabilidad en IDEMIA (CVE-2023-33221)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
15/12/2023
Última modificación:
21/12/2023
Descripción
Al leer las claves de DesFire, la función que lee la tarjeta no verifica correctamente los límites al copiar internamente los datos recibidos. Esto permite un desbordamiento de búfer de almacenamiento dinámico que podría conducir a una posible ejecución remota de código en el dispositivo de destino. Esto es especialmente problemático si utiliza la clave DESFire predeterminada.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:idemia:sigma_lite_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_lite\+_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_lite\+:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_extreme_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_extreme:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_wide_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_wide:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_compact_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:morphowave_compact:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_xp_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:morphowave_xp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:visionpass_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:visionpass:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_sp_firmware:*:*:*:*:*:*:*:* | 1.2.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página