Syska SW100 Smartwatch bis V2 Nordic Device Firmware Update erweiterte Rechte
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
8.3 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Syska SW100 Smartwatch bis V2 (Smartwatch Operating System) ausgemacht. Sie wurde als sehr kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Nordic Device Firmware Update. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-862 vorgenommen. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt. Die Zusammenfassung von CVE lautet:
The vulnerability exists in Syska SW100 Smartwatch due to an improper implementation and/or configuration of Nordic Device Firmware Update (DFU) which is used for performing Over-The-Air (OTA) firmware updates on the Bluetooth Low Energy (BLE) devices. An unauthenticated attacker could exploit this vulnerability by setting arbitrary values to handle on the vulnerable device over Bluetooth.
Successful exploitation of this vulnerability could allow the attacker to perform firmware update, device reboot or data manipulation on the target device.
Die Schwachstelle wurde am 31.10.2023 durch Shakir Zari als CIVN-2023-0333 publiziert. Das Advisory findet sich auf cert-in.org.in. Die Identifikation der Schwachstelle wird seit dem 26.08.2022 mit CVE-2022-3007 vorgenommen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 31.10.2023).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.3
VulDB Base Score: 8.8
VulDB Temp Score: 8.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.1
CNA Vector (Indian Computer Emergency Response Team (CERT-In)): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-862 / CWE-863 / CWE-285
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
26.08.2022 CVE zugewiesen31.10.2023 Advisory veröffentlicht
31.10.2023 VulDB Eintrag erstellt
31.10.2023 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: CIVN-2023-0333Person: Shakir Zari
Status: Nicht definiert
CVE: CVE-2022-3007 (🔒)
Eintrag
Erstellt: 31.10.2023 14:19Anpassungen: 31.10.2023 14:19 (50)
Komplett: 🔍
Cache ID: 3:D5F:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.