← volver
CVE-2013-6282

CVE-2013-6282

CVSS 8.8 HIGHEPSS 39.7%● KEVCWE-20
En resumen

Una falla en las funciones de acceso a memoria del kernel Linux en dispositivos ARM permite que atacantes lean o modifiquen la memoria del kernel a través de una aplicación maliciosa. Esto es peligroso porque la memoria del kernel controla todo en el sistema, desde datos de usuarios hasta funciones de seguridad.

Detalle técnico

Las funciones get_user y put_user del kernel Linux <3.5.5 en plataformas ARMv6k y ARMv7 carecen de validación adecuada de direcciones de memoria, habilitando lectura y escritura arbitraria de memoria del kernel desde aplicaciones en espacio de usuario. Esta falla de validación de entrada (CWE-20) permite escalada de privilegios y divulgación de información en sistemas ARM afectados, incluidos dispositivos Android.

Resumen generado y traducido por IA a partir de la descripción oficial.
The (1) get_user and (2) put_user API functions in the Linux kernel before 3.5.5 on the v6k and v7 ARM platforms do not validate certain addresses, which allows attackers to read or modify the contents of arbitrary kernel memory locations via a crafted application, as exploited in the wild against Android devices in October and November 2013.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas7
githubgithub.com/fi01/libput_user_exploit27githubgithub.com/timwr/CVE-2013-628220githubgithub.com/jeboo/bypasslkm13githubgithub.com/fi01/libget_user_exploit8cve_referencewww.exploit-db.com/exploits/40975/no verificadoexploitdbwww.exploit-db.com/exploits/40975no verificadoexploitdbwww.exploit-db.com/exploits/31574no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git%3Ba=commit%3Bh=8404663f81d212918ff85f493649a7991209fa04https://github.com/torvalds/linux/commit/8404663f81d212918ff85f493649a7991209fa04https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-6282https://www.exploit-db.com/exploits/40975/http://www.codeaurora.org/projects/security-advisories/missing-access-checks-putusergetuser-kernel-api-cve-2013-6282http://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.5.5http://www.openwall.com/lists/oss-security/2013/11/14/11http://www.securityfocus.com/bid/63734http://www.ubuntu.com/usn/USN-2067-1