Vulnerabilidad en IDEMIA (CVE-2023-33222)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
15/12/2023
Última modificación:
28/12/2023
Descripción
Al manejar tarjetas sin contacto, se utiliza una función específica para obtener información adicional de la tarjeta que no verifica el límite de los datos recibidos durante la lectura. Esto permite un desbordamiento de búfer en la región stack de la memoria que podría provocar una posible ejecución remota de código en el dispositivo de destino.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:idemia:sigma_lite_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_lite\+_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_lite\+:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_extreme_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_extreme:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:sigma_wide_firmware:*:*:*:*:*:*:*:* | 4.15.5 (excluyendo) | |
| cpe:2.3:h:idemia:sigma_wide:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_compact_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:morphowave_compact:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_xp_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:morphowave_xp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:visionpass_firmware:*:*:*:*:*:*:*:* | 2.12.2 (excluyendo) | |
| cpe:2.3:h:idemia:visionpass:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idemia:morphowave_sp_firmware:*:*:*:*:*:*:*:* | 1.2.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página