CRITICAL🇬🇧 English

CVE-2024-46442

BYD Dilink Headunit System — ominięcie uwierzytelniania przez bruteforce

CVSS 9.8v3.1pub. 2024-12-10upd. 2026-07-05

System multimedialny BYD Dilink w wersjach v3.0–v4.0 nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelniania przez atak bruteforce. Podatność uzyskała ocenę CVSS 9.8 (krytyczna) i może być wykorzystana zdalnie bez jakichkolwiek uprawnień.

Pokaż oryginał (EN)

An issue in the BYD Dilink Headunit System v3.0 to v4.0 allows attackers to bypass authentication via a bruteforce attack.

🤖 Analiza AI
Jak działa

Podatność (CWE-307) polega na braku mechanizmu ograniczania nadmiernych prób uwierzytelniania (brak blokady konta, CAPTCHA, limitu zapytań lub podobnych zabezpieczeń). Atakujący może wielokrotnie wysyłać żądania logowania, systematycznie testując kombinacje danych uwierzytelniających do momentu uzyskania dostępu. Ponieważ atak nie wymaga żadnej interakcji użytkownika ani wcześniejszych uprawnień, może być przeprowadzony w pełni zdalnie.

Skutki

Skuteczne przeprowadzenie ataku daje atakującemu pełny dostęp do systemu headunit pojazdu BYD, co może skutkować naruszeniem poufności, integralności oraz dostępności danych i funkcji systemu — w tym potencjalnie funkcji związanych z pojazdem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (byd.com, bydauto.com.cn). Do czasu aktualizacji zaleca się izolację systemu od niezaufanych sieci oraz monitorowanie prób logowania. Szczegóły podatności dostępne są w repozytorium: https://github.com/zgsnj123/BYD_headunit_vuls/tree/main

Kogo dotyczy

BYD Dilink Headunit System w wersjach od v3.0 do v4.0

Uwagi

Szczegóły techniczne podatności zostały opublikowane publicznie w repozytorium GitHub (zgsnj123/BYD_headunit_vuls), co może obniżyć próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje