CRITICAL🇬🇧 English

CVE-2023-48419

Privilege escalation w Google Home/Nest przez sieć Wi-Fi

CVSS 10.0v3.1pub. 2024-01-02upd. 2024-11-21

Podatność w urządzeniach Google Home i Google Nest umożliwia atakującemu znajdującemu się w zasięgu sieci Wi-Fi ofiary podsłuchiwanie jej oraz uzyskanie wyższych uprawnień. Krytyczna ocena CVSS 10.0 wynika z pełnego dostępu sieciowego bez konieczności uwierzytelnienia i jakiejkolwiek interakcji ze strony użytkownika.

Pokaż oryginał (EN)

An attacker in the wifi vicinity of a target Google Home can spy on the victim, resulting in Elevation of Privilege 

🤖 Analiza AI
Jak działa

Atakujący musi znajdować się w fizycznym zasięgu sieci Wi-Fi ofiary. Bez żadnych uprawnień ani interakcji użytkownika jest w stanie przeprowadzić atak skutkujący privilege escalation. Szczegółowy mechanizm techniczny nie został ujawniony w dostępnym opisie, jednak pełny wektor CVSS (AV:N/AC:L/PR:N/UI:N/S:C) wskazuje na podatność dostępną zdalnie przez sieć, niewymagającą skomplikowanych warunków ani uprawnień wstępnych.

Skutki

Atakujący może uzyskać nieautoryzowane podwyższone uprawnienia na urządzeniu oraz szpiegować ofiarę — potencjalnie uzyskując dostęp do dźwięku przechwytywanego przez mikrofon urządzenia. Zakres podatności (Scope: Changed) sugeruje możliwość wyjścia poza kontekst samego urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (strona wsparcia Google: support.google.com/product-documentation/answer/14273332). Urządzenia Google Home zazwyczaj aktualizują się automatycznie — należy zweryfikować, czy urządzenia mają włączone automatyczne aktualizacje oprogramowania.

Kogo dotyczy

Google Nest Audio (firmware), Google Nest Mini (firmware), Google Home Mini (firmware) — konkretne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Google Home

    HW
    Google
    wszystkie wersje
  • Google Home Firmware

    OS
    Google
    < 2.58
  • Google Home Mini

    HW
    Google
    wszystkie wersje
  • Google Home Mini Firmware

    OS
    Google
    < 2.58
  • Google Nest Audio

    HW
    Google
    wszystkie wersje
  • Google Nest Audio Firmware

    OS
    Google
    < 2.58
  • Google Nest Mini

    HW
    Google
    wszystkie wersje
  • Google Nest Mini Firmware

    OS
    Google
    < 2.58
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-32928MEDIUM5.9ten sam produkt

The libcurl CURLOPT_SSL_VERIFYPEER option was disabled on a subset of requests made by Nest production devices...

CVE-2018-12716MEDIUM4.3ten sam produkt

The API service on Google Home and Chromecast devices before mid-July 2018 does not prevent DNS rebinding atta...

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7971CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML