CRITICAL🇬🇧 English

CVE-2023-48417

Brak sprawdzania uprawnień w aplikacji KeyChainActivity na urządzeniach Google Chromecast

CVSS 9.8v3.1pub. 2023-12-11upd. 2024-11-21

Podatność w aplikacji KeyChainActivity na urządzeniach Google Chromecast umożliwia nieupoważniony dostęp oraz manipulację danymi bez weryfikacji uprawnień. Luka otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla bezpieczeństwa urządzeń.

Pokaż oryginał (EN)

Missing Permission checks resulting in unauthorized access and Manipulation in KeyChainActivity Application

🤖 Analiza AI
Jak działa

Podatność wynika z braku wymaganych sprawdzeń uprawnień (CWE-862 – Missing Authorization) w aplikacji KeyChainActivity. Atakujący zdalny, nieuwierzytelniony użytkownik może wysłać odpowiednio spreparowane żądanie do podatnej aplikacji, omijając mechanizmy kontroli dostępu. W rezultacie możliwy jest nieautoryzowany odczyt, modyfikacja lub zniszczenie danych obsługiwanych przez KeyChainActivity.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych zarządzanych przez aplikację KeyChainActivity oraz je modyfikować, co zagraża poufności, integralności i dostępności systemu. Wektor sieciowy bez wymogu uwierzytelnienia sprawia, że atak może być przeprowadzony zdalnie i bez interakcji użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Google dla Chromecast z dnia 2023-12-01 (https://source.android.com/docs/security/bulletin/chromecast/2023-12-01). Zalecane jest jak najszybsze zaktualizowanie oprogramowania układowego urządzeń Chromecast.

Kogo dotyczy

Urządzenia Google Chromecast z oprogramowaniem układowym (firmware) — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Chromecast z grudnia 2023).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Chromecast

    HW
    Google
    wszystkie wersje
  • Google Chromecast Firmware

    OS
    Google
    < 2023-10-01
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-48426CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność u-boot w Google Chromecast — dostęp do powłoki przez UART

CVE-2023-48424CRITICAL9.8PL ✓ten sam produkt

Privilege escalation poprzez podatność w U-Boot shell na Google Chromecast

CVE-2023-48425CRITICAL9.8PL ✓ten sam produkt

Podatność U-Boot w Google Chromecast umożliwiająca trwałe wykonanie kodu

CVE-2023-6181CRITICAL9.8PL ✓ten sam produkt

RCE w Google Chromecast — trwałe wykonanie kodu przez błąd BCB

CVE-2018-12716MEDIUM4.3ten sam produkt

The API service on Google Home and Chromecast devices before mid-July 2018 does not prevent DNS rebinding atta...