W oprogramowaniu firmware wybranych układów Qualcomm wykryto krytyczną podatność kryptograficzną polegającą na stosowaniu niezabezpieczonej metody połączenia podczas pobierania danych. Luka umożliwia zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania bez jakiejkolwiek interakcji użytkownika.
▸ Pokaż oryginał (EN)
Cryptographic issue occurs due to use of insecure connection method while downloading.
Podatność wynika z użycia niezabezpieczonej metody połączenia w procesie pobierania danych przez firmware urządzenia (CWE-287: Improper Authentication, CWE-863: Incorrect Authorization). Brak odpowiednich mechanizmów kryptograficznych pozwala atakującemu na przeprowadzenie ataku bez uprzedniego uwierzytelnienia, przez sieć, bez konieczności posiadania jakichkolwiek uprawnień ani angażowania użytkownika końcowego. Wektor ataku sieciowy (AV:N) w połączeniu z niską złożonością ataku (AC:L) czyni tę podatność szczególnie niebezpieczną.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (wysoka poufność) oraz dokonać nieautoryzowanych modyfikacji danych lub zasobów systemu (wysoka integralność) na podatnym urządzeniu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Qualcomm z lipca 2025 r. (https://docs.qualcomm.com/product/publicresources/securitybulletin/july-2025-bulletin.html)
Firmware następujących układów Qualcomm: SM6650P, QCA6688AQ, WCN7881, QCA6574A, WCD9375 — szczegółowe wersje wskazane w referencjach producenta
Podatność opublikowana w ramach biuletynu bezpieczeństwa Qualcomm z dnia 8 lipca 2025 r.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NQualcomm Ar8035
HWQualcommwszystkie wersjeQualcomm Ar8035 Firmware
OSQualcommwszystkie wersjeQualcomm Fastconnect 6200
HWQualcommwszystkie wersjeQualcomm Fastconnect 6200 Firmware
OSQualcommwszystkie wersjeQualcomm Fastconnect 6700
HWQualcommwszystkie wersjeQualcomm Fastconnect 6700 Firmware
OSQualcommwszystkie wersjeQualcomm Fastconnect 6900
HWQualcommwszystkie wersjeQualcomm Fastconnect 6900 Firmware
OSQualcommwszystkie wersjeQualcomm Fastconnect 7800
HWQualcommwszystkie wersjeQualcomm Fastconnect 7800 Firmware
OSQualcommwszystkie wersjeQualcomm Qca6174a
HWQualcommwszystkie wersjeQualcomm Qca6174a Firmware
OSQualcommwszystkie wersjeQualcomm Qca6391
HWQualcommwszystkie wersjeQualcomm Qca6391 Firmware
OSQualcommwszystkie wersjeQualcomm Qca6574a
HWQualcommwszystkie wersjeQualcomm Qca6574a Firmware
OSQualcommwszystkie wersjeQualcomm Qca6574au
HWQualcommwszystkie wersjeQualcomm Qca6574au Firmware
OSQualcommwszystkie wersjeQualcomm Qca6584au
HWQualcommwszystkie wersjeQualcomm Qca6584au Firmware
OSQualcommwszystkie wersjeQualcomm Qca6595au
HWQualcommwszystkie wersjeQualcomm Qca6595au Firmware
OSQualcommwszystkie wersjeQualcomm Qca6678aq
HWQualcommwszystkie wersjeQualcomm Qca6678aq Firmware
OSQualcommwszystkie wersjeQualcomm Qca6688aq
HWQualcommwszystkie wersjeQualcomm Qca6688aq Firmware
OSQualcommwszystkie wersjeQualcomm Qca6696
HWQualcommwszystkie wersjeQualcomm Qca6696 Firmware
OSQualcommwszystkie wersjeQualcomm Qca6698aq
HWQualcommwszystkie wersjeQualcomm Qca6698aq Firmware
OSQualcommwszystkie wersje
Powiązane podatności
Qualcomm: Memory Corruption przy ładowaniu uszkodzonego obrazu ELF
Qualcomm Firmware — memory corruption przy wyborze PLMN z listy SOR
Memory corruption w Qualcomm podczas składania pakietów RTP (NALUs)
Qualcomm: Uszkodzenie pamięci przy parsowaniu ML IE w firmware
Qualcomm Snapdragon – memory corruption przy przekierowaniu pliku logów