ID do alerta ：GS202411001
Data Inicial da Liberação：2024/11/08
Data Atualizada da Liberação：2024/11/08

Visão geral da vulnerabilidade

PG100: Existe uma vulnerabilidade potencial de uso após liberação na operação de liberação do cache xfs_buf. Um atacante poderia usar esta vulnerabilidade para executar código arbitrário que poderia causar uma falha no sistema ou elevação de privilégio.
O número CVE dessa vulnerabilidade é: CVE-2014-9422

versão e correção

Impacto

Um atacante poderia usar esta vulnerabilidade para executar código arbitrário que poderia causar uma falha no sistema ou elevação de privilégio.

Pontuação da vulnerabilidade

A vulnerabilidade é pontuada usando o sistema de pontuação CVSSv3.1. Para critérios de pontuação detalhados,
consulte: www.first.org/cvss/specification-document

Base Score: 6.3
Temporal Score: 5.9
Environmental Score: NA
CVSS v3.1 Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L/E:F/RL:O/RC:C

Detalhes técnicos

Condições prévias para o ataque:

Um atacante pode aceder ao sistema de ficheiros do dispositivo através do samba numa rede de área local (LAN).

Uma vez que o sistema de ficheiros pode ser acedido através de serviços não encerrados, como o SAMBA, esta vulnerabilidade pode existir no PG100 quando os serviços não são encerrados atempadamente e pode ser explorada por um atacante para executar código arbitrário que pode causar uma falha do sistema ou elevação de privilégio.

Mitigação

Nenhuma

Aquisição de versão

Os dispositivos com a atualização automática ativada receberão solicitações de atualização de firmware.
Os dispositivos sem a atualização automática ativada precisarão obter manualmente as solicitações de atualização de firmware.
Deve-se executar a atualização de firmware para aplicar a correção da vulnerabilidade.

Fonte de vulnerabilidade

Essa vulnerabilidade foi descoberta por testadores internos da GoldenStar.

Histórico de atualizações

2024-11-08 V1.2.4 nova versão；