Vulnerabilidad en DiLink 3.0 (CVE-2025-7020)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/08/2025

Última modificación:

11/08/2025

Descripción

Existe una vulnerabilidad de implementación incorrecta del cifrado en la función de volcado de registros del sistema del sistema operativo DiLink 3.0 de BYD (por ejemplo, en el modelo ATTO3). Un atacante con acceso físico al vehículo puede eludir el cifrado de los volcados de registros en el almacenamiento de la unidad de Infotainment del vehículo (IVI). Esto le permite acceder y leer registros del sistema que contienen datos confidenciales, como información de identificación personal (PII) y datos de ubicación. Esta vulnerabilidad se introdujo en un parche destinado a corregir CVE-2024-54728.

Impacto

Vector 4.0

CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/AU:Y/V:D/RE:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/AU:Y/V:D/RE:H

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno
Automatable (AU): Si
Value Density (V): Diffuse
Vulnerability Response Effort (RE): Alto

Puntuación base 4.0

5.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://asrg.io/security-advisories/cve-2025-7020/