CRITICAL✓ PATCH🇬🇧 English

CVE-2024-45434

Use-After-Free w OpenSynergy BlueSDK umożliwia zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2025-09-12upd. 2025-10-02

OpenSynergy BlueSDK (znany również jako Blue SDK) w wersji do 6.x włącznie zawiera podatność typu use-after-free w stosie Bluetooth. Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia.

Pokaż oryginał (EN)

OpenSynergy BlueSDK (aka Blue SDK) through 6.x has a Use-After-Free. The specific flaw exists within the BlueSDK Bluetooth stack. The issue results from the lack of validating the existence of an object before performing operations on the object (aka use after free). An attacker can leverage this to achieve remote code execution in the context of a user account under which the Bluetooth process runs.

🤖 Analiza AI
Jak działa

Podatność wynika z braku weryfikacji istnienia obiektu przed wykonaniem na nim operacji — jest to klasyczny błąd use-after-free (CWE-416). Atakujący może spreparować odpowiednie żądanie Bluetooth, które odwoła się do już zwolnionego obszaru pamięci. Skutkuje to możliwością przejęcia kontroli nad przepływem wykonania programu i uruchomieniem dowolnego kodu w kontekście konta użytkownika, w którym działa proces Bluetooth.

Skutki

Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolny kod (RCE) w kontekście konta użytkownika obsługującego proces Bluetooth, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz utraty dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się kontakt z OpenSynergy (www.opensynergy.com) w celu uzyskania zaktualizowanej wersji stosu BlueSDK. Do czasu wdrożenia poprawki należy rozważyć wyłączenie lub ograniczenie dostępu do interfejsu Bluetooth na podatnych urządzeniach.

Kogo dotyczy

OpenSynergy BlueSDK (Blue SDK) w wersjach do 6.x włącznie

Uwagi

Podatność została ujawniona przez PCA Cybersecurity w ramach advisory dostępnego pod adresem pcacybersecurity.com/resources/advisory/perfekt-blue.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Opensynergy Blue Sdk

    APP
    Opensynergy
    ≤ 6.0.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2024-45432HIGH7.5ten sam produkt

OpenSynergy BlueSDK (aka Blue SDK) through 6.x mishandles a function call. The specific flaw exists within the...

CVE-2018-20378HIGH7.5ten sam produkt

The L2CAP signaling channel implementation and SDP server implementation in OpenSynergy Blue SDK 3.2 through 6...

CVE-2024-45431MEDIUM5.3ten sam produkt

OpenSynergy BlueSDK (aka Blue SDK) through 6.x has Improper Input Validation. The specific flaw exists within ...

CVE-2024-45433MEDIUM6.5ten sam produkt

OpenSynergy BlueSDK (aka Blue SDK) through 6.x has Incorrect Control Flow Scoping. The specific flaw exists wi...

CVE-2024-45434 — Use-After-Free w OpenSynergy BlueSDK umożliwia zdalne wykonanie kodu — CRITICAL 9.8 | CVEbaza.pl