Yocto
Уязвимости
114
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01211
Распределение по критичности
Критический
3
Высокий
16
Средний
93
Низкий
2
Затронутые диапазоны версий
< 3.1.31
Также сопоставлено как (исходные строки): mt6789,mt6878,android,openwrt,zephyr,iot_yocto,mt6985,mt6990,yocto,rdk-b,mt6989,mt8390
Топ уязвимостей
CVE-2024-25626Yocto Project — это проект сотрудничества с открытым исходным кодом, который помогает разработчикам создавать настраиваемые системы на базе Linux независимо от аппаратной архитектуры. В Yocto Projects Bitbake до 2.6.2 (до и включая Yocto Project 4.3.1), при работающем сервере Toaster (входит в bitbake), отсутствие проверки входных данных позволяет злоумышленнику выполнить удаленное выполнение кода в оболочке сервера с помощью специально созданного HTTP-запроса. Аутентификация не требуется. Выполнение сервера Toaster должно быть специально запущено и не является значением по умолчанию для сборок командной строки Bitbake, оно используется только для веб-интерфейса Toaster для Bitbake. Исправление было перенесено в bitbake, включенный в Yocto Project 5.0, 3.1.31, 4.0.16 и 4.3.2.
CVE-2024-20148В wlan STA FW возможна запись за пределами выделенной области памяти из-за неправильной проверки входных данных. Это может привести к удаленному (ближнему/смежному) выполнению кода без каких-либо дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: WCNCR00389045 / ALPS09136494; Issue ID: MSV-1796.
CVE-2024-20080В службе gnss возможно повышение привилегий из-за неправильной проверки сертификатов. Это может привести к удаленному повышению привилегий без дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS08720039; Issue ID: MSV-1424.
CVE-2024-20040Во встроенном ПО wlan возможна запись за пределы выделенной области памяти из-за неправильной проверки ввода. Это может привести к удаленной эскалации привилегий без необходимости дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS08360153 (для чипсетов MT6XXX) / WCNCR00363530 (для чипсетов MT79XX); Issue ID: MSV-979.
CVE-2024-20104В da возможна запись за границы из-за отсутствия проверки границ. Это может привести к локальному повышению привилегий без дополнительных привилегий для выполнения. Для эксплуатации требуется взаимодействие с пользователем. Patch ID: ALPS09073261; Issue ID: MSV-1772.
CVE-2024-20053Во flashc возможна запись за пределы выделенной области памяти из-за необработанного исключения. Это может привести к локальной эскалации привилегий с необходимыми привилегиями System для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS08541757; Issue ID: ALPS08541764.
CVE-2024-20146В драйвере wlan STA возможна запись за пределами выделенной области памяти из-за неправильной проверки входных данных. Это может привести к удаленному (ближнему/смежному) выполнению кода без каких-либо дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: WCNCR00389496 / ALPS09137491; Issue ID: MSV-1835.
CVE-2025-20705В monitor_hang обнаружена возможная коррупция памяти из-за использования после освобождения. Это может привести к локальному повышению привилегий, если злоумышленник уже получил привилегии Системы. Для эксплуатации не требуется взаимодействие пользователя. Патч ID: ALPS09989078; ID проблемы: MSV-3964 [1].
Источники:
- [1] https://corp.mediatek.com/product-security-bulletin/September-2025
CVE-2025-61611В модема возможная неправилая валидация ввода. Это может привести к удаленному отказу в обслуживании без каких-либо дополнительных привилегий исполнения.
CVE-2024-20153В wlan STA возможен способ обмануть клиента, чтобы он подключился к точке доступа со поддельным SSID. Это может привести к удаленному раскрытию информации без каких-либо дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS08990446 / ALPS09057442; Issue ID: MSV-1598.
CVE-2024-20089В wlan возможен отказ в обслуживании из-за неправильной обработки ошибок. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS08861558; Issue ID: MSV-1526.
CVE-2023-32820Во встроенном ПО wlan возможна проверка встроенного ПО из-за неправильной обработки входных данных. Это может привести к удаленному отказу в обслуживании без необходимости дополнительных привилегий выполнения. Взаимодействие с пользователем для эксплуатации не требуется. ID патча: ALPS07932637; ID проблемы: ALPS07932637.
CVE-2023-20693В wlan firmware возможен сбой системы из-за необработанного исключения. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS07664711; Issue ID: ALPS07664711.
CVE-2023-20692В wlan firmware возможен сбой системы из-за необработанного исключения. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS07664720; Issue ID: ALPS07664720.
CVE-2023-20691В wlan firmware возможен сбой системы из-за переполнения целого числа. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS07664731; Issue ID: ALPS07664731.
CVE-2023-20690В wlan firmware возможен сбой системы из-за переполнения целого числа. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS07664735; Issue ID: ALPS07664735.
CVE-2023-20689В wlan firmware возможен сбой системы из-за переполнения целого числа. Это может привести к удаленному отказу в обслуживании без дополнительных привилегий. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: ALPS07664741; Issue ID: ALPS07664741.
CVE-2022-32666В Wi-Fi возможна низкая пропускная способность из-за искажения критической информации. Это может привести к удаленному отказу в обслуживании без необходимости в дополнительных привилегиях выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Patch ID: GN20220829014; Issue ID: GN20220829014.
CVE-2022-32589В драйвере Wi-Fi существует возможность отключения Wi-Fi из-за неправильного освобождения ресурсов. Это может привести к удаленному отказу в обслуживании без необходимости дополнительных привилегий для выполнения. Взаимодействие с пользователем не требуется для эксплуатации. Patch ID: ALPS07030600; Issue ID: ALPS07030600.
CVE-2025-20696В DA существует возможное переполнение записи из-за отсутствия проверки границ. Это может привести к локальному повышению привилегий, если злоумышленник имеет физический доступ к устройству, без дополнительных привилегий выполнения. Для эксплуатации требуется взаимодействие пользователя. Идентификатор патча: ALPS09915215; Идентификатор проблемы: MSV-3801 [1].
Источники:
- [1] https://corp.mediatek.com/product-security-bulletin/August-2025
CVE-2025-20656В DA возможна запись за пределами границы из-за отсутствия проверки границ. Это может привести к локальному повышению привилегий, если у злоумышленника есть физический доступ к устройству, без необходимости дополнительных прав выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Идентификатор патча: ALPS09625423; Идентификатор проблемы: MSV-3033.
CVE-2025-20650В da существует возможная запись за пределами допустимого из-за отсутствия проверки границ. Это может привести к локальной эскалации привилегий, если у злоумышленника есть физический доступ к устройству, при этом дополнительные привилегии для выполнения не требуются. Для эксплуатации требуется взаимодействие с пользователем. Идентификатор патча: ALPS09291294; Идентификатор проблемы: MSV-2061.
CVE-2025-20747В службе угнан есть возможность написания вне пределов из-за неправильной проверки границ. Это может привести к локальной эскалации привилегий, если злоумышленник уже получил привилегию Системы. Взаимодействие с пользователем не требуется для эксплуатации. Идентификатор патча: ALPS1000443; Идентификатор Выдачи: MSV-3966.
CVE-2025-20746В службе угнан есть возможность написания вне пределов из-за неправильной проверки границ. Это может привести к локальной эскалации привилегий, если злоумышленник уже получил привилегию Системы. Взаимодействие с пользователем не требуется для эксплуатации. Идентификатор патча: ALPS1000441; Идентификатор выдачи: MSV-3967.
CVE-2025-20730В предварительном загрузчике существует возможная эскалация привилегий из-за небезопасного значения по умолчанию. Это может привести к локальной эскалации привилегий, если злоумышленник уже получил привилегию Системы. Взаимодействие с пользователем не требуется для эксплуатации. Идентификатор патча: ALPS10068463; Идентификатор номера: MSV-4141.