CRITICAL✓ PATCH🇬🇧 English

CVE-2023-41921

Brak weryfikacji integralności pobranego kodu/firmware — RCE

CVSS 9.8v3.1pub. 2024-07-02upd. 2026-04-15

Podatność klasy CWE-494 (Download of Code Without Integrity Check) umożliwia atakującym pobranie i wykonanie złośliwego kodu lub zmodyfikowanego firmware bez weryfikacji jego pochodzenia i integralności. Oceniona jako CRITICAL (CVSS 9.8), stanowi poważne zagrożenie dla systemów aktualizujących oprogramowanie przez sieć.

Pokaż oryginał (EN)

A vulnerability allows attackers to download source code or an executable from a remote location and execute the code without sufficiently verifying the origin and integrity of the code. This vulnerability can allow attackers to modify the firmware before uploading it to the system, thus achieving the modification of the target’s integrity to achieve an insecure state.

🤖 Analiza AI
Jak działa

Atakujący może podrzucić złośliwy plik wykonywalny lub obraz firmware w miejsce legalnej aktualizacji pobieranej ze zdalnej lokalizacji. System podatny nie weryfikuje w wystarczającym stopniu źródła ani integralności pobieranego kodu (np. brak weryfikacji podpisu cyfrowego lub sumy kontrolnej). Dzięki temu atakujący może podrzucić zmodyfikowany firmware, który zostanie zainstalowany na docelowym urządzeniu, wprowadzając je w niebezpieczny stan.

Skutki

Atakujący może trwale zmodyfikować firmware urządzenia, uzyskując pełną kontrolę nad systemem, w tym możliwość odczytu i modyfikacji danych oraz zakłócenia jego działania. Skutkiem może być długotrwałe przejęcie urządzenia, trudne do wykrycia bez głębokiej analizy sprzętowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory NCSC-2024-0273 dostępny pod adresem https://advisories.ncsc.nl/advisory?id=NCSC-2024-0273). Dodatkowo zaleca się wdrożenie weryfikacji podpisów cyfrowych lub sum kontrolnych dla wszelkich pobieranych aktualizacji firmware oraz ograniczenie dostępu sieciowego do mechanizmów aktualizacji.

Kogo dotyczy

Wersje wskazane w referencjach producenta (szczegóły w komunikacie NCSC-2024-0273; konkretne produkty i wersje nie zostały podane w opisie podatności)

Uwagi

Podatność opisana w holenderskim krajowym advisory NCSC-2024-0273 opublikowanym przez NCSC-NL. Brak informacji o konkretnych produktach w dostępnych metadanych — należy skonsultować się bezpośrednio z treścią advisory w celu identyfikacji podatnych systemów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2023-41921 — Brak weryfikacji integralności pobranego kodu/firmware — RCE — CRITICAL 9.8 | CVEbaza.pl