CRITICAL🇬🇧 English

CVE-2025-11544

Brak weryfikacji integralności firmware w projektorach Sharp Display Solutions

CVSS 9.5v4.0pub. 2025-12-22upd. 2026-04-15

Podatność w projektorach Sharp Display Solutions umożliwia atakującemu tworzenie i uruchamianie nieautoryzowanego oprogramowania układowego (firmware). Jest to krytyczna luka, ponieważ przejęcie kontroli nad firmware pozwala na trwałe i głęboko ukryte skompromitowanie urządzenia.

Pokaż oryginał (EN)

Improper Validation of Integrity Check Value vulnerability in Sharp Display Solutions projectors allows a attacker may create and run unauthorized firmware.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej weryfikacji wartości kontrolnej integralności (Improper Validation of Integrity Check Value, CWE-912). Urządzenie nie sprawdza w sposób wystarczający, czy wgrywany firmware pochodzi z zaufanego źródła i czy nie został zmodyfikowany. Atakujący może w związku z tym spreparować własną wersję oprogramowania układowego i wgrać ją do projektora, omijając mechanizmy bezpieczeństwa producenta.

Skutki

Atakujący może zainstalować nieautoryzowany firmware, co daje mu trwałą, pełną kontrolę nad urządzeniem — włącznie z możliwością modyfikacji jego działania, utrzymania dostępu (persistence/backdoor) oraz potencjalnego wpływu na systemy, z którymi projektor jest połączony sieciowo.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również ograniczenie dostępu sieciowego do projektorów (segmentacja sieci, firewall) oraz monitorowanie wszelkich prób aktualizacji firmware na urządzeniach tego producenta do czasu wdrożenia łatki.

Kogo dotyczy

Projektory Sharp Display Solutions — konkretne modele wskazane w referencjach producenta (https://sharp-displays.jp.sharp/global/support/info/PJ-CVE-2025-11544.html)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje