目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2022-30283— Insyde InsydeH2O 安全漏洞

EPSS 0.07% · P22
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2022-30283 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
In UsbCoreDxe, tampering with the contents of the USB working buffer using DMA while certain USB transactions are in process leads to a TOCTOU problem that could be used by an attacker to cause SMRAM corruption and escalation of privileges The UsbCoreDxe module creates a working buffer for USB transactions outside of SMRAM. The code which uses can be inside of SMM, making the working buffer untrusted input. The buffer can be corrupted by DMA transfers. The SMM code code attempts to sanitize pointers to ensure all pointers refer to the working buffer, but when a pointer is not found in the list of pointers to sanitize, the current action is not aborted, leading to undefined behavior. This issue was discovered by Insyde engineering based on the general description provided by Intel's iSTARE group. Fixed in: Kernel 5.0: Version 05.09. 21 Kernel 5.1: Version 05.17.21 Kernel 5.2: Version 05.27.21 Kernel 5.3: Version 05.36.21 Kernel 5.4: Version 05.44.21 Kernel 5.5: Version 05.52.21 https://www.insyde.com/security-pledge/SA-2022063
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Insyde InsydeH2O 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Insyde InsydeH2O是中国台湾系微(Insyde)公司的一个 C 语言源,它实现了新技术“EFI/UEFI”规范,旨在取代传统的 BIOS(基本输入/输出系统)。 Insyde InsydeH2O 5.0至5.5存在安全漏洞,该漏洞源于在UsbCoreDxe中,当某些USB事务正在进行时,使用DMA篡改USB工作缓冲区的内容会导致TOCTOU问题,攻击者可以利用该问题导致SMRAM损坏和权限升级。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
-n/a n/a -

二、漏洞 CVE-2022-30283 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2022-30283 的情报信息

登录查看更多情报信息。

同批安全公告 · n/a · 2022-11-15 · 共 41 条

CVE-2022-42128Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42119Liferay Portal和Liferay DXP 跨站脚本漏洞
CVE-2022-42120Liferay Portal和Liferay DXP SQL注入漏洞
CVE-2022-42121Liferay Portal和Liferay DXP SQL注入漏洞
CVE-2022-42122Liferay Portal和Liferay DXP SQL注入漏洞
CVE-2022-42123Liferay Portal和Liferay DXP 路径遍历漏洞
CVE-2022-42124Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42125Liferay Portal和Liferay DXP 路径遍历漏洞
CVE-2022-42126Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42127Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42118Liferay Portal和Liferay DXP 跨站脚本漏洞
CVE-2022-42129Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42130Liferay Portal和Liferay DXP 安全漏洞
CVE-2022-42131Liferay Portal和Liferay DXP 信任管理问题漏洞
CVE-2022-42132Liferay Portal和Liferay DXP 信息泄露漏洞
CVE-2022-42977Atlassian Confluence 路径遍历漏洞
CVE-2022-42978Atlassian Confluence 安全漏洞
CVE-2022-43071XPDF 缓冲区错误漏洞
CVE-2022-43265Canteen Management System 代码问题漏洞
CVE-2022-43279LimeSurvey SQL注入漏洞

显示前 20 条,共 41 条。 查看全部 → →

IV. Related Vulnerabilities

Same product: n/a
Same vendor: n/a

V. Comments for CVE-2022-30283

暂无评论

发表评论