← volver
CVE-2025-36755

CleverDisplay BlueOne unauthorized BIOS access through physical USB keyboard

CVSS 2.4 LOWEPSS 0.1%CWE-1191CWE-1244
En resumen

El reproductor multimedia CleverDisplay BlueOne puede tener su carcasa protectora removida para acceder a un puerto USB, lo que permite a alguien conectar un teclado y ver (pero no cambiar) su configuración de BIOS durante el arranque. Esto expone cierta información interna del sistema, pero no permite que los atacantes rompan ni desactiven el dispositivo.

Detalle técnico

Después de la circunvención física de la carcasa del dispositivo, un atacante con acceso directo al hardware puede conectar un teclado USB y presionar ESC durante el arranque para acceder a la interfaz de configuración de BIOS en modo de solo lectura, exponiendo datos de configuración interna del sistema (CWE-1244). Ninguna modificación de configuraciones de BIOS ni compromiso de la integridad o disponibilidad del sistema es posible en condiciones normales de operación.

Resumen generado y traducido por IA a partir de la descripción oficial.
The CleverDisplay BlueOne hardware player is designed with its USB interfaces physically enclosed and inaccessible under normal operating conditions. Researchers demonstrated that, after cicumventing the device’s protective enclosure, it was possible to connect a USB keyboard and press ESC during boot to access the BIOS setup interface. BIOS settings could be viewed but not modified. This behavior slightly increases the attack surface by exposing internal system information (CWE-1244) once the enclosure is removed, but does not allow integrity or availability compromise under standard or tested configurations.
CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/S:N/AU:N/V:D/RE:L/U:Green
Productos afectados
CleverDisplay B.V. · BlueOne (CleverDisplay Hardware Player)

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://csirt.divd.nl/CVE-2025-5743/https://csirt.divd.nl/DIVD-2025-00043