CRITICAL🇬🇧 English

CVE-2023-48425

Podatność U-Boot w Google Chromecast umożliwiająca trwałe wykonanie kodu

CVSS 9.8v3.1pub. 2023-12-11upd. 2025-05-27

Podatność w bootloaderze U-Boot urządzeń Google Chromecast pozwala na trwałe wykonanie kodu (persistent code execution). Wysoki wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia czynią ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

U-Boot vulnerability resulting in persistent Code Execution 

🤖 Analiza AI
Jak działa

Podatność dotyczy komponentu U-Boot — bootloadera odpowiedzialnego za inicjalizację systemu na urządzeniach Google Chromecast. Na podstawie sklasyfikowanego CWE-20 wskazuje na niewystarczającą walidację danych wejściowych w tym komponencie. Wykorzystanie podatności prowadzi do trwałego wykonania kodu (persistent code execution), co oznacza, że złośliwy kod może przetrwać restarty urządzenia. Wektor ataku sieciowego (AV:N) bez wymagań uwierzytelnienia (PR:N, UI:N) sugeruje możliwość zdalnego wykorzystania podatności.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem — zapewnić sobie poufność, integralność i dostępność systemu na najwyższym poziomie, a wykonany kod może utrzymywać się trwale na urządzeniu nawet po jego restarcie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Chromecast z dnia 2023-12-01 dostępny pod adresem: https://source.android.com/docs/security/bulletin/chromecast/2023-12-01. Urządzenia Google Chromecast zazwyczaj otrzymują aktualizacje automatycznie, jednak administratorzy powinni zweryfikować, czy urządzenia w środowisku organizacyjnym posiadają zainstalowaną najnowszą wersję firmware.

Kogo dotyczy

Google Chromecast oraz oprogramowanie firmware Google Chromecast — konkretne wersje wskazane w biuletynie bezpieczeństwa producenta z grudnia 2023 (2023-12-01).

Uwagi

Podatność została ujawniona w ramach biuletynu bezpieczeństwa Chromecast z datą 2023-12-01 i opublikowana jako CVE w dniu 2023-12-11. Trwałość wykonanego kodu (persistent code execution) stanowi szczególne zagrożenie w kontekście urządzeń IoT, które rzadko podlegają aktywnej kontroli bezpieczeństwa w środowiskach korporacyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Chromecast

    HW
    Google
    wszystkie wersje
  • Google Chromecast Firmware

    OS
    Google
    < 2023-10-01
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-48426CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność u-boot w Google Chromecast — dostęp do powłoki przez UART

CVE-2023-48417CRITICAL9.8PL ✓ten sam produkt

Brak sprawdzania uprawnień w aplikacji KeyChainActivity na urządzeniach Google Chromecast

CVE-2023-48424CRITICAL9.8PL ✓ten sam produkt

Privilege escalation poprzez podatność w U-Boot shell na Google Chromecast

CVE-2023-6181CRITICAL9.8PL ✓ten sam produkt

RCE w Google Chromecast — trwałe wykonanie kodu przez błąd BCB

CVE-2018-12716MEDIUM4.3ten sam produkt

The API service on Google Home and Chromecast devices before mid-July 2018 does not prevent DNS rebinding atta...