PT-2024-13860 · Stmicroelectronics · X-Cube-Safea1 Software Package+1
Elttam
+1
·
Publicado
2024-01-01
·
Atualizado
2024-09-09
·
CVE-2023-50096
CVSS v3.1
7.5
Alta
| Vetor | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do STSAFE-A1xx da STMicroelectronics anteriores à 3.3.7
Pacote de software X-CUBE-SAFEA1 para aplicações de exemplo do STSAFE-A, versão 1.2.0
Descrição
A vulnerabilidade permite a execução de código no MCU se um invasor tiver a capacidade de ler e gravar no barramento I2C. Isso é causado por um estouro de buffer na função
StSafeA ReceiveBytes do Pacote de Software X-CUBE-SAFEA1 para aplicações de exemplo do STSAFE-A e, portanto, pode afetar o código escrito pelo usuário que tenha sido derivado de uma aplicação de exemplo publicada.Recomendações
Para as versões STMicroelectronics STSAFE-A1xx anteriores à 3.3.7, atualize para a versão 3.3.7 ou posterior para resolver o problema.
Para o Pacote de Software X-CUBE-SAFEA1 para aplicativos de exemplo STSAFE-A versão 1.2.0, considere desativar a função
StSafeA ReceiveBytes até que um patch esteja disponível.Como solução alternativa temporária, restrinja o acesso ao barramento I2C para minimizar o risco de exploração.
Exploit
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stsafe-A1Xx
X-Cube-Safea1 Software Package