CRITICAL🇬🇧 English

CVE-2025-21450

Qualcomm: podatność kryptograficzna umożliwiająca Auth Bypass podczas pobierania

CVSS 9.1v3.1pub. 2025-07-08upd. 2025-08-11

W oprogramowaniu firmware wybranych układów Qualcomm wykryto krytyczną podatność kryptograficzną polegającą na stosowaniu niezabezpieczonej metody połączenia podczas pobierania danych. Luka umożliwia zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Cryptographic issue occurs due to use of insecure connection method while downloading.

🤖 Analiza AI
Jak działa

Podatność wynika z użycia niezabezpieczonej metody połączenia w procesie pobierania danych przez firmware urządzenia (CWE-287: Improper Authentication, CWE-863: Incorrect Authorization). Brak odpowiednich mechanizmów kryptograficznych pozwala atakującemu na przeprowadzenie ataku bez uprzedniego uwierzytelnienia, przez sieć, bez konieczności posiadania jakichkolwiek uprawnień ani angażowania użytkownika końcowego. Wektor ataku sieciowy (AV:N) w połączeniu z niską złożonością ataku (AC:L) czyni tę podatność szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (wysoka poufność) oraz dokonać nieautoryzowanych modyfikacji danych lub zasobów systemu (wysoka integralność) na podatnym urządzeniu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Qualcomm z lipca 2025 r. (https://docs.qualcomm.com/product/publicresources/securitybulletin/july-2025-bulletin.html)

Kogo dotyczy

Firmware następujących układów Qualcomm: SM6650P, QCA6688AQ, WCN7881, QCA6574A, WCD9375 — szczegółowe wersje wskazane w referencjach producenta

Uwagi

Podatność opublikowana w ramach biuletynu bezpieczeństwa Qualcomm z dnia 8 lipca 2025 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Qualcomm Ar8035

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Ar8035 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6200

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6200 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6700

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6700 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6900

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 6900 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 7800

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Fastconnect 7800 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6174a

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6174a Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6391

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6391 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6574a

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6574a Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6574au

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6574au Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6584au

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6584au Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6595au

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6595au Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6678aq

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6678aq Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6688aq

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6688aq Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6696

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6696 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6698aq

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Qca6698aq Firmware

    OS
    Qualcomm
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-47372CRITICAL9.0PL ✓ten sam produkt

Qualcomm: Memory Corruption przy ładowaniu uszkodzonego obrazu ELF

CVE-2025-27034CRITICAL9.8PL ✓ten sam produkt

Qualcomm Firmware — memory corruption przy wyborze PLMN z listy SOR

CVE-2025-21483CRITICAL9.8PL ✓ten sam produkt

Memory corruption w Qualcomm podczas składania pakietów RTP (NALUs)

CVE-2024-45569CRITICAL9.8PL ✓ten sam produkt

Qualcomm: Uszkodzenie pamięci przy parsowaniu ML IE w firmware

CVE-2024-33066CRITICAL9.8PL ✓ten sam produkt

Qualcomm Snapdragon – memory corruption przy przekierowaniu pliku logów