Poly Trio 8500/Trio 8800/Trio C60 Poly Lens Management Cloud Registration erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.21 |
Es wurde eine Schwachstelle in Poly Trio 8500, Trio 8800 sowie Trio C60 - die betroffene Version ist nicht klar definiert - ausgemacht. Sie wurde als problematisch eingestuft. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente Poly Lens Management Cloud Registration. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-862 vorgenommen. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt.
Die Schwachstelle wurde am 29.12.2023 durch Christoph Wolff und Pascal Zenker von modzero AG als MZ-23-01 publiziert. Bereitgestellt wird das Advisory unter modzero.com. Die Identifikation der Schwachstelle wird mit CVE-2023-4468 vorgenommen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
To register a Poly device in the Poly Lens management cloud, a short alphanumeric code must be entered. This code is displayed on the device, without having to enter the administrator’s PIN. Registering the device allows for administrative access via the Lens interface, providing an elevation of privilege to a local attacker.Unter github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Weitere Informationen werden unter fahrplan.events.ccc.de bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-249255, VDB-249256, VDB-249257 und VDB-249258.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.4
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
Researcher Base Score: 5.7
Researcher Vector: 🔒
NVD Base Score: 7.6
NVD Vector: 🔒
CNA Base Score: 4.3
CNA Vector (VulDB): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Erweiterte RechteCWE: CWE-862 / CWE-863 / CWE-285
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
21.08.2023 CVE zugewiesen29.12.2023 Advisory veröffentlicht
29.12.2023 VulDB Eintrag erstellt
21.01.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: MZ-23-01Person: Christoph Wolff, Pascal Zenker
Firma: modzero AG
Status: Nicht definiert
Bestätigung: 🔒
CVE: CVE-2023-4468 (🔒)
Diverses: 🔒
Siehe auch: 🔒
Eintrag
Erstellt: 29.12.2023 10:28Aktualisierung: 21.01.2024 08:12
Anpassungen: 29.12.2023 10:28 (39), 29.12.2023 10:36 (15), 29.12.2023 10:41 (2), 09.01.2024 17:12 (2), 09.01.2024 17:20 (3), 21.01.2024 08:10 (2), 21.01.2024 08:12 (28)
Komplett: 🔍
Cache ID: 3:5DB:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.