Уязвимость внедрения командной оболочки в интеллектуальных колонках Mobvoi Tichome Mini 012-18853 и 027-58389 позволяет удаленным злоумышленникам отправлять специально созданную датаграмму UDP и выполнять произвольный шелл-код от имени учетной записи root.
Показать оригинальное описание (EN)
A shell command injection vulnerability in Mobvoi Tichome Mini smart speaker 012-18853 and 027-58389 allows remote attackers to send a specially crafted UDP datagram and execute arbitrary shell code as the root account.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mobvoi Tichome_Mini_Firmware
cpe:2.3:o:mobvoi:tichome_mini_firmware:012-18853:*:*:*:*:*:*:*
|
— | — |
|
Mobvoi Tichome_Mini_Firmware
cpe:2.3:o:mobvoi:tichome_mini_firmware:027-58389:*:*:*:*:*:*:*
|
— | — |
|
Mobvoi Tichome_Mini
cpe:2.3:h:mobvoi:tichome_mini:-:*:*:*:*:*:*:*
|
— | — |