CVE-2024-4406
Оценки
EPSS
Процентиль: 68.4%
CVSS
Оценка CVSS: 9.6/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Требуется (R)
Отражает требование участия человека в атаке
Область воздействия
Изменена (C)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Описание
Xiaomi Pro 13 GetApps integral-dialog-page Уязвимость удаленного выполнения кода из-за межсайтового скриптинга. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках смартфонов Xiaomi Pro 13. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку целевой объект должен посетить вредоносную страницу или открыть вредоносный файл.
Конкретный недостаток существует в файле integral-dialog-page.html. При анализе параметра integralInfo процесс неправильно очищает данные, предоставленные пользователем, что может привести к внедрению произвольного скрипта. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Был ZDI-CAN-22332.
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Эксплойты
ID эксплойта: CVE-2024-4406
Источник: github-poc
URL: https://github.com/Yogehi/cve-2024-4406-xiaomi13pro-exploit-files
Уязвимое ПО (1)
Тип: Конфигурация
Поставщик: *
Продукт: xiaomi_13_pro_firmware
Операционная система: * * *
{ "children": [ { "cpe_match": [ { "cpe23uri": "cpe:2.3:o:mi:xiaomi_13_pro_firmware:14.0.5.0:*:*:*:*:*:*:*", "vulnerable": true } ], "operat...
{ "children": [ { "cpe_match": [ { "cpe23uri": "cpe:2.3:o:mi:xiaomi_13_pro_firmware:14.0.5.0:*:*:*:*:*:*:*", "vulnerable": true } ], "operator": "OR" }, { "cpe_match": [ { "cpe23uri": "cpe:2.3:h:mi:xiaomi_13_pro:-:*:*:*:*:*:*:*" } ], "operator": "OR" } ], "operator": "AND"}
Источник: nvd