PT-2024-38535 · Kioxia · Kioxia Pm6+2
Mkammerstetter
·
Publicado
2024-12-20
·
Atualizado
2025-07-23
·
CVE-2024-7726
CVSS v3.1
6.8
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos Kioxia PM6, PM7 e CM6 (versões afetadas não especificadas)
Descrição
O problema diz respeito a uma porta JTAG acessível sem autenticação nos dispositivos Kioxia PM6, PM7 e CM6. Essa porta fica exposta na placa de circuito da unidade e pode ser acessada sem abrir o gabinete do disco devido ao recorte amplo dos gabinetes. Um invasor com acesso físico temporário pode utilizar a porta de depuração JTAG para obter acesso total ao firmware e à memória nos dois núcleos principais da CPU dentro da unidade. Esse acesso inclui a execução de código arbitrário, a modificação do fluxo de execução e dos dados do firmware ou a contornagem da verificação de assinatura do firmware durante a inicialização.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kioxia Cm6
Kioxia Pm6
Kioxia Pm7