PT-2025-43687 · Unknown · Deck Mate 2
Enrique Nissim
+2
·
Publicado
2025-10-24
·
Atualizado
2025-10-25
·
CVE-2025-34500
CVSS v4.0
7.0
Alta
| Vetor | AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Deck Mate 2 (versões afetadas não especificadas)
Descrição
O mecanismo de atualização de firmware do Deck Mate 2 não verifica assinaturas criptográficas nos pacotes de atualização. As atualizações são criptografadas utilizando uma única chave AES embutida no código, compartilhada entre todos os dispositivos, e empregam um HMAC truncado para validação de integridade. Isso permite que invasores com acesso à interface de atualização, tipicamente através da porta USB, criem ou modifiquem pacotes de firmware para executar código arbitrário como root. Isso pode levar a um comprometimento persistente da integridade do dispositivo e do processo de randomização. O acesso físico ou o acesso à rede local é o vetor de ataque mais provável, embora a exploração remota seja teoricamente possível com implantações de rede ou telemetria mal configuradas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
LPE
Use of a Broken Cryptographic Algorithm
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Deck Mate 2