VDB-134183 · CVE-2019-11336 · BID 108072

Sony Smart TV Photo Sharing Plus Credentials Divulgação de Informação

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
6.1$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Sony Smart TV. Foi classificada como problemático. O elemento afetado é uma função não identificada no componente Photo Sharing Plus. A manipulação com uma entrada desconhecida leva a Divulgação de Informação. Esta vulnerabilidade é identificada como CVE-2019-11336. É possível lançar o ataque remotamente. Além disso, um exploit está disponível. É aconselhável desativar o componente afetado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Sony Smart TV. Foi classificada como problemático. O elemento afetado é uma função não identificada no componente Photo Sharing Plus. A manipulação com uma entrada desconhecida leva a Divulgação de Informação. Usar CWE para declarar o problema leva a CWE-532. O bug foi descoberto em 03/10/2018. A fraqueza foi publicada 23/04/2019 com xen1thLabs como Multiple vulnerabilities in Sony Smart TVs como Mailinglist Post (Bugtraq) via HackerOne. O comunicado foi disponibilizado para download em seclists.org. A divulgação pública foi coordenada em cooperação com o vendedor.

Esta vulnerabilidade é identificada como CVE-2019-11336. A atribuição do identificador CVE aconteceu em 18/04/2019. É possível lançar o ataque remotamente. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. A técnica de ataque utilizada por esta edição é T1592 de acordo com MITRE ATT&CK.

É declarado como prova de conceito. A exploração está disponível em seclists.org. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 202 dias. Como 0 dia, o preço estimado do subsolo foi de cerca de $5k-$25k. Segue o código empregado pelo exploit:

root@kali:~# wget -qO- --post-data='{"id":80,"method":"getContentShareServerInfo","params":[],"version":"1.0"}' 
http://[ip_tv]:10000/contentshare/
{"result":[{"ssid":"DIRECT-GD-BRAVIA","keyType":"","key":"8362tbwX","deviceName":"","url":"http:\/\/192.168.49.1","touchPadRemote":"notSupported"}],"id":80}

É aconselhável desativar o componente afetado. O parecer contém a seguinte observação:

Sony confirms the vulnerabilities affects some models and "Sony plans to terminate Photo Sharing Plus service for all of models, and that completion date is scheduled for April 12th, 2019."

Produtoinformação

Tipo

Fabricante

Nome

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.2
VulDB Meta Pontuação Temporária: 6.1

VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

Pessoa Pontuação Base: 5.3
Pessoa Vetor: 🔍

NVD Pontuação Base: 8.1
NVD Vetor: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Nome: Credentials
Classe: Divulgação de Informação / Credentials
CWE: CWE-532 / CWE-200 / CWE-284
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Desativar
Estado: 🔍

Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍

Linha do tempoinformação

03/10/2018 🔍
10/10/2018 +7 dias 🔍
12/10/2018 +2 dias 🔍
18/04/2019 +188 dias 🔍
23/04/2019 +5 dias 🔍
23/04/2019 +0 dias 🔍
29/04/2019 +6 dias 🔍
13/06/2024 +1872 dias 🔍

Fontesinformação

Aconselhamento: Multiple vulnerabilities in Sony Smart TVs
Empresa: xen1thLabs
Estado: Confirmado
Coordenado: 🔍

CVE: CVE-2019-11336 (🔍)
GCVE (CVE): GCVE-0-2019-11336
GCVE (VulDB): GCVE-100-134183
SecurityFocus: 108072

scip Labs: https://www.scip.ch/en/?labs.20161013
Vários: 🔍
Veja também: 🔍

Entradainformação

Criado: 29/04/2019 09h24
Atualizado: 13/06/2024 08h48
Ajustamentos: 29/04/2019 09h24 (81), 04/06/2020 15h13 (1), 07/09/2023 21h58 (5), 13/06/2024 08h48 (14)
Completo: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!