СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
29.03.2024

Уязвимость BDU:2024-02671

Уязвимость BDU:2024-02671

Идентификатор: BDU:2024-02671.

Наименование уязвимости: Уязвимость функции on_receive_session_packet_ack библиотеки libv2_sdk.so микропрограммного обеспечения квадрокоптеров DJI Mavic 3 Pro, DJI Mavic 3, DJI Mavic 3 Classic, DJI Mavic 3 Enterprise, DJI Matrice 300, DJI Matrice M30, DJI Mavic Mini 3 Pro, позволяющая нарушителю раскрыть защищаемую информацию или выполнить произвольный код.

Описание уязвимости: Уязвимость функции on_receive_session_packet_ack библиотеки libv2_sdk.so микропрограммного обеспечения квадрокоптеров DJI Mavic 3 Pro, DJI Mavic 3, DJI Mavic 3 Classic, DJI Mavic 3 Enterprise, DJI Matrice 300, DJI Matrice M30, DJI Mavic Mini 3 Pro связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или выполнить произвольный код
Уязвимое ПО: Микропрограммный код SZ DJI Technology Co., Ltd DJI Mavic Mini 3 Pro до 01.00.0620 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Mavic 3 Pro до 01.01.0300 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Mavic 3 до 01.00.1200 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Mavic 3 Classic до 01.00.0500 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Mavic 3 Enterprise до 07.01.10.03 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Matrice 300 до 57.00.01.00 | Микропрограммный код SZ DJI Technology Co., Ltd DJI Matrice M30 07.01.0022 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 29.03.2024.
CVSS 2.0: AV:A/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— ограничение возможности подключений по порту 10000.

Использование рекомендаций производителя:
https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2023-51455.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-51455.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2023-51455
https://vuldb.com/?id.259018

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: