🚨CVE info : 🚨
🛠️ Produit concerné : arduino-esp32
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🟠 8.9 (HIGH)
🧪 Vecteur CVSS : accès réseau.
📄 Description : Arduino-ESP32 fournit un noyau Arduino pour l'ESP32. Les versions antérieures à 3.3.0-RC1 et 3.2.1 contiennent une vulnérabilité de division de réponse HTTP. La fonction «SendHeader» prend une entrée arbitraire pour le nom et la valeur de l'en-tête HTTP, les concaténe dans une ligne d'en-tête HTTP et l'ajoute aux en-têtes de réponse HTTP sortants. Il n'y a pas de validation ou de désinfection des paramètres «Name» ou «Value» avant d'être inclus dans la réponse HTTP. Si un attaquant peut contrôler l'entrée à `Sendheader»
🔥 Risques : vulnérabilité HTTP Response Splitting pouvant mener à l'injection de contenu malveillant
💡 Opportunités : manipulation des réponses HTTP pour le détournement ou le phishing
🔧 Patch : oui/lien non fourni
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Hunt Electronic DVR
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🟠 8.7 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Certains modèles DVR hybrides (HBF-09KD et HBF-16NK) de Hunt Electronic ont une vulnérabilité d'injection de commande OS, permettant aux attaquants distants avec des privilèges réguliers pour injecter des commandes de système d'exploitation arbitraires et les exécuter sur l'appareil.
🔥 Risques : Exécution de commandes arbitraires sur l'appareil par des attaquants distants
💡 Opportunités : Accès à des systèmes sensibles en compromettant le DVR
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :
🛠️ Produit concerné : RT-Thread
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🟠 8.5 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Une vulnérabilité, qui a été classée comme critique, a été trouvée dans RT-thread jusqu'à 5.1.0. Cela affecte la fonction SYS_DEVICE_OPEN / SYS_DEVICE_READ / SYS_DEVICE_CONTROL / SYS_DEVICE_INIT / SYS_DEVICE_CLOSE / SYS_DEVICE_WRITE DES COMPOSENTS / DRIVERS / CORE / DÉPECONSE.C. La manipulation conduit à la corruption de la mémoire. Il est possible de lancer l'attaque de l'hôte local. Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de quelque manière que ce soit.
🔥 Risques : Corruption de mémoire potentiellement menant à une exécution de code à distance
💡 Opportunités : Prise de contrôle à distance des dispositifs affectés
🔧 Patch : oui / [lien patch à fournir]
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Hunt Electronic Hybrid DVR
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau.
📄 Description : Certains modèles DVR hybrides ((HBF-09KD et HBF-16NK)) de Hunt Electronic ont une exposition d'une vulnérabilité d'information sensible, permettant aux attaquants distants non authentifiés d'accéder directement à un fichier de configuration du système et d'obtenir des informations d'identification d'administrateur en texte clair.
🔥 Risques : Accès non autorisé à des informations sensibles (identifiants administratifs en clair).
💡 Opportunités : Accès direct à des fichiers de configuration sensibles.
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :