arduino-TuyaOpen до версии 1.2.1 содержит уязвимость чтения за пределами памяти в компоненте TuyaIoT. Злоумышленник, который захватывает облачную службу Tuya или контролирует ее, может передать вредоносные данные о событиях DP на устройства жертвы, что приведет к выходу за пределы доступа к памяти, что может привести к раскрытию информации или состоянию отказа в обслуживании.
Показать оригинальное описание (EN)
arduino-TuyaOpen before version 1.2.1 contains an out-of-bounds memory read vulnerability in the TuyaIoT component. An attacker who hijacks or controls the Tuya cloud service can issue malicious DP event data to victim devices, causing out-of-bounds memory access that may result in information disclosure or a denial-of-service condition.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tuya Arduino-Tuyaopen
cpe:2.3:a:tuya:arduino-tuyaopen:*:*:*:*:*:*:*:*
|
— |
1.2.1
|