LOW🇬🇧 English

CVE-2025-36755

CVSS 2.4v4.0pub. 2025-12-12upd. 2026-04-15

Sprzętowy odtwarzacz CleverDisplay BlueOne ma interfejsy USB fizycznie zamknięte i niedostępne w normalnych warunkach działania. Badacze wykazali, że po obejściu ochronnej obudowy urządzenia możliwe było podłączenie klawiatury USB i naciśnięcie ESC podczas uruchamiania w celu dostępu do interfejsu ustawień BIOS-u. Ustawienia BIOS-u można było przeglądać, ale nie modyfikować. To zachowanie nieznacznie zwiększa powierzchnię ataku poprzez ujawnienie wewnętrznych informacji systemowych (CWE-1244) po usunięciu obudowy, ale nie pozwala na naruszenie integralności lub dostępności w standardowych lub testowanych konfiguracjach.

Pokaż oryginał (EN)

The CleverDisplay BlueOne hardware player is designed with its USB interfaces physically enclosed and inaccessible under normal operating conditions. Researchers demonstrated that, after cicumventing the device’s protective enclosure, it was possible to connect a USB keyboard and press ESC during boot to access the BIOS setup interface. BIOS settings could be viewed but not modified. This behavior slightly increases the attack surface by exposing internal system information (CWE-1244) once the enclosure is removed, but does not allow integrity or availability compromise under standard or tested configurations.

CVSS Vector
CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:N/R:X/V:D/RE:L/U:Green
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje