Samsung SmartThings Hub多个高危漏洞安全通告
发布时间 2018-08-02漏洞编号和级别
CVE-2018-3903等 厂商自评:9.9 CVSS分值:官方未评定
影响版本
Samsung SmartThings Hub STH-ETH-250 固件版本20.17
漏洞概述
Samsung SmartThings Hub是一个用于连接和控制家中其他联网设备的单一枢纽。
近日,Talos团队公布了多个关于Samsung SmartThings Hub的漏洞,包括命令注入、远程代码执行等高危漏洞,最高CVSS评分9.9。如下:
|
漏洞名称/类别 |
CVE |
CVSS评分 |
|
Video-core相机更新代码执行漏洞 |
CVE-2018-3903- CVE-2018-3904 |
9.9 |
|
Video-core凭证代码执行漏洞 |
CVE-2018-3873- CVE-2018-3878 |
9.9 |
|
Video-core凭证videoHostUrl代码执行漏洞 |
CVE-2018-3872 |
9.9 |
|
Video-core samsungWifiScan代码执行漏洞 |
CVE-2018-3863- CVE-2018-3866 |
9.9 |
|
HubCore 39500端口同步拒绝服务漏洞 |
CVE-2018-3918 |
6.5 |
|
Video-core相机代码执行漏洞 |
CVE-2018-3905 |
8.5 |
|
Video-core samsungWifiScan代码执行漏洞 |
CVE-2018-3867 |
9.9 |
|
Video-core 数据库代码执行漏洞 |
CVE-2018-3919 |
7.5 |
|
Video-core 数据库查询代码执行漏洞 |
CVE-2018-3880 |
8.2 |
|
Hubcore 39500端口头部注入漏洞 |
CVE-2018-3911 |
8.6 |
|
Video-core AWSELB Cookie代码之行漏洞 |
CVE-2018-3925 |
8.5 |
|
Video-core REST HTTP解析请求注入漏洞 |
CVE-2018-3907- CVE-2018-3909 |
9.1 |
|
Video-core 数据库shard.videoHostURL代码执行漏洞 |
CVE-2018-3906 |
7.5 |
|
hubCore ZigBee固件升级CRC16校验拒绝服务漏洞 |
CVE-2018-3926 |
5.3 |
|
Video-core 数据库代码执行漏洞 |
CVE-2018-3912- CVE-2018-3917 |
7.5 |
|
Video-core clips代码执行漏洞 |
CVE-2018-3893- CVE-2018-3897 |
9.9 |
|
HubCore Google Breakpad backtrace.io信息泄露漏洞 |
CVE-2018-3927 |
6.8 |
|
Video-core凭证解析SQL注入漏洞 |
CVE-2018-3879 |
8.8 |
|
Video-core RTSP配置命令注入漏洞 |
CVE-2018-3856 |
9.9 |
|
Video-core相机URL替换代码执行漏洞 |
CVE-2018-3902 |
9.9 |
修复建议
Samsung SmartThings官方已经发布了新版本固件修复了上述漏洞,受影响的用户请及时更新进行防护:https://support.smartthings.com/hc/en-us/articles/207316543-Is-my-Hub-s-firmware-up-to-date-。
参考链接
https://support.smartthings.com/hc/en-us/articles/207316543-Is-my-Hub-s-firmware-up-to-date-
https://www.talosintelligence.com/vulnerability_reports/#disclosed
京公网安备11010802024551号