| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in TianoCore EDK2 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil. Durch das Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2024-38798 vorgenommen. Der Angriff muss auf lokaler Ebene erfolgen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in TianoCore EDK2 entdeckt. Dies betrifft ein unbekannter Teil. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
EDK2 contains a vulnerability in BIOS where an attacker may cause “Exposure of Sensitive Information to an Unauthorized Actor” by local access. Successful exploitation of this vulnerability will lead to
possible information disclosure or escalation of privilege
and impact Confidentiality.Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 19.06.2024 als CVE-2024-38798 statt. Sie ist schwierig ausnutzbar. Der Angriff muss lokal passieren. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 278014 (Linux Distros Unpatched Vulnerability : CVE-2024-38798) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version edk2-stable202511 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (278014) und CERT Bund (WID-SEC-2025-2807) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Betroffen
- Lenovo BIOS
- Lenovo Computer
- TianoCore EDK2
Produkt
Hersteller
Name
Version
Webseite
- Produkt: https://github.com/tianocore/edk2/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 2.5VulDB Meta Temp Score: 2.4
VulDB Base Score: 2.5
VulDB Temp Score: 2.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 278014
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2024-38798
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: EDK2 edk2-stable202511
Timeline
19.06.2024 CVE zugewiesen09.12.2025 Advisory veröffentlicht
09.12.2025 VulDB Eintrag erstellt
11.12.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: github.com
Status: Bestätigt
CVE: CVE-2024-38798 (🔒)
GCVE (CVE): GCVE-0-2024-38798
GCVE (VulDB): GCVE-100-335252
CERT Bund: WID-SEC-2025-2807 - TianoCore EDK2: Schwachstelle ermöglicht Offenlegung von Informationen
Eintrag
Erstellt: 09.12.2025 17:10Aktualisierung: 11.12.2025 01:43
Anpassungen: 09.12.2025 17:10 (66), 10.12.2025 15:47 (2), 11.12.2025 01:43 (7)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.