Abode iota All-In-One Security Kit 6.9X/6.9Z XCMD testWifiAP wpapsk Format String
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in Abode iota All-In-One Security Kit 6.9X/6.9Z ausgemacht. Dies betrifft die Funktion testWifiAP der Komponente XCMD Handler. Mit der Manipulation des Arguments wpapsk mit einer unbekannten Eingabe kann eine Format String-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-134. Wie sich eine durchgeführte Attacke auswirkt, ist soweit nicht bekannt. CVE fasst zusammen:
Four format string injection vulnerabilities exist in the XCMD testWifiAP functionality of Abode Systems, Inc. iota All-In-One Security Kit 6.9X and 6.9Z. Specially-crafted configuration values can lead to memory corruption, information disclosure and denial of service. An attacker can modify a configuration value and then execute an XCMD to trigger these vulnerabilities.This vulnerability arises from format string injection via the `wpapsk` configuration parameter, as used within the `testWifiAP` XCMD handlerDie Schwachstelle wurde am 25.10.2022 als TALOS-2022-1581 veröffentlicht. Das Advisory kann von talosintelligence.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 15.07.2022 als CVE-2022-35875 statt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 24.11.2022).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Produkt
Hersteller
Name
Lizenz
- commercial
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 8.4VulDB Meta Temp Score: 8.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CNA Base Score: 8.2
CNA Vector (Talos): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Format StringCWE: CWE-134 / CWE-119
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
15.07.2022 CVE zugewiesen25.10.2022 Advisory veröffentlicht
25.10.2022 VulDB Eintrag erstellt
24.11.2022 VulDB letzte Aktualisierung
Quellen
Advisory: TALOS-2022-1581Status: Nicht definiert
CVE: CVE-2022-35875 (🔒)
Eintrag
Erstellt: 25.10.2022 22:35Aktualisierung: 24.11.2022 00:26
Anpassungen: 25.10.2022 22:35 (51), 24.11.2022 00:26 (12)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.