BDU:2022-04040: Уязвимость системы радио управления ExpressLRS, связанная с ошибками в коде, позволяющая нарушителю перехватить значение идентификатора UID и получить полный контроль над устройством

Описание уязвимости Уязвимость системы радио управления ExpressLRS связана с ошибками в коде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить значение идентификатора UID и получить полный контроль над устройством
Вендор Сообщество свободного программного обеспечения
Наименование ПО ExpressLRS
Версия ПО -
Тип ПО Микропрограммный код
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Код
Идентификатор типа ошибки CWE-17
Класс уязвимости Уязвимость кода
Дата выявления 01.07.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- не отправляйте идентификатор UID по каналу управления. Данные, используемые для создания последовательности FHSS, не должны передаваться в открытом виде;
- используйте более безопасный алгоритм или настройте существующий алгоритм для обхода повторяющихся последовательностей.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Данные уточняются
Прочая информация Данные уточняются