CVE-2024-23922
Sony XAV-AX5500 Insufficient Firmware Update Validation Remote Code Execution Vulnerability
En resumen
La unidad principal Sony XAV-AX5500 no valida correctamente las actualizaciones de firmware, permitiendo que un atacante con acceso físico instale código malicioso y controle el dispositivo sin necesidad de contraseña.
Detalle técnico
La vulnerabilidad existe en el mecanismo de actualización de firmware debido a la validación insuficiente de los paquetes de actualización (CWE-345). Un atacante con acceso físico puede explotarla para ejecutar código arbitrario con privilegios del dispositivo; no se requiere autenticación, lo que la hace explotable durante el proceso de actualización.
Resumen generado y traducido por IA a partir de la descripción oficial.
Sony XAV-AX5500 Insufficient Firmware Update Validation Remote Code Execution Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Sony XAV-AX5500 devices. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the handling of software updates. The issue results from the lack of proper validation of software update packages. An attacker can leverage this vulnerability to execute code in the context of the device.
Was ZDI-CAN-22939
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Sony · XAV-AX5500PoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/52143no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →