CRITICAL🇬🇧 English

CVE-2023-48424

Privilege escalation poprzez podatność w U-Boot shell na Google Chromecast

CVSS 9.8v3.1pub. 2023-12-11upd. 2026-02-25

Podatność w powłoce U-Boot na urządzeniach Google Chromecast umożliwia eskalację uprawnień (privilege escalation) na urządzeniu produkcyjnym. Krytyczny poziom CVSS 9.8 wskazuje na możliwość przejęcia pełnej kontroli nad urządzeniem bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

U-Boot shell vulnerability resulting in Privilege escalation in a production device

🤖 Analiza AI
Jak działa

Luka dotyczy powłoki bootloadera U-Boot obecnej w oprogramowaniu układowym (firmware) urządzeń Google Chromecast. Podatność pozwala atakującemu na uzyskanie podwyższonych uprawnień w środowisku produkcyjnym urządzenia. Szczegółowy mechanizm techniczny nie został ujawniony w dostępnym opisie, jednak wektor CVSS (AV:N/AC:L/PR:N/UI:N) wskazuje, że atak może być przeprowadzony zdalnie, bez interakcji użytkownika i bez wymaganych uprawnień.

Skutki

Atakujący może uzyskać podwyższone uprawnienia na urządzeniu, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności, integralności oraz dostępności danych i funkcji Chromecast.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Chromecast z dnia 2023-12-01 dostępny pod adresem: https://source.android.com/docs/security/bulletin/chromecast/2023-12-01. Zaleca się aktualizację oprogramowania układowego urządzenia do najnowszej wersji.

Kogo dotyczy

Google Chromecast oraz oprogramowanie układowe (firmware) Google Chromecast — konkretne wersje wskazane w biuletynie bezpieczeństwa Chromecast z grudnia 2023 (2023-12-01) dostępnym w referencjach producenta

Uwagi

Podatność dotyczy komponentu U-Boot (bootloader) w środowisku produkcyjnym urządzenia. Brak szczegółów technicznych w publicznym opisie CVE — pełne informacje dostępne wyłącznie w biuletynie producenta. Tagi wskazują na Local Privilege Escalation (LPE), co może sugerować konieczność fizycznego dostępu do urządzenia, mimo sieciowego wektora ataku wskazanego w CVSS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Chromecast

    HW
    Google
    wszystkie wersje
  • Google Chromecast Firmware

    OS
    Google
    < 2023-10-01
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2023-48426CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność u-boot w Google Chromecast — dostęp do powłoki przez UART

CVE-2023-48417CRITICAL9.8PL ✓ten sam produkt

Brak sprawdzania uprawnień w aplikacji KeyChainActivity na urządzeniach Google Chromecast

CVE-2023-48425CRITICAL9.8PL ✓ten sam produkt

Podatność U-Boot w Google Chromecast umożliwiająca trwałe wykonanie kodu

CVE-2023-6181CRITICAL9.8PL ✓ten sam produkt

RCE w Google Chromecast — trwałe wykonanie kodu przez błąd BCB

CVE-2018-12716MEDIUM4.3ten sam produkt

The API service on Google Home and Chromecast devices before mid-July 2018 does not prevent DNS rebinding atta...