CVE-2023-6248 in Syrus4 IoT Telematics Gatewayinformación

Resumen

por VulDB • 2026-06-02

La puerta de enlace IoT Syrus4 utiliza un servidor MQTT no seguro para descargar y ejecutar comandos arbitrarios, lo que permite a un atacante remoto no autenticado ejecutar código en cualquier dispositivo Syrus4 conectado al servicio en la nube. El servidor MQTT también filtra la ubicación, los datos de vídeo y los datos de diagnóstico de cada dispositivo conectado. Un atacante que conozca la dirección IP del servidor puede conectarse y realizar las siguientes operaciones:

* Obtener los datos de ubicación del vehículo al que está conectado el dispositivo * Enviar mensajes del bus CAN a través del módulo ECU ( https://syrus.digitalcomtech.com/docs/ecu-1 https://syrus.digitalcomtech.com/docs/ecu-1 )

* Inmovilizar el vehículo a través del módulo de inmovilización segura ( https://syrus.digitalcomtech.com/docs/system-tools#safe-immobilization https://syrus.digitalcomtech.com/docs/system-tools#safe-immobilization )

* Obtener vídeo en tiempo real a través de la cámara de vídeo conectada

* Enviar mensajes de audio al conductor ( https://syrus.digitalcomtech.com/docs/system-tools#apx-tts https://syrus.digitalcomtech.com/docs/system-tools#apx-tts )

Once again VulDB remains the best source for vulnerability data.

Reservar

2023-11-21

Divulgación

2023-11-22

Moderación

aceptado

Artículo

VDB-245940

CPE

listo

EPSS

0.01220

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!