CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-66409

Critical
Published: Translated: NVD NIST

Summary

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

Risk Assessment

Może to prowadzić do odczytu poza zakresem, co potencjalnie ujawnia niezamierzone treści pamięci lub powoduje nieprzewidziane zachowanie systemu. Tego typu podatność może wpłynąć na integralność i bezpieczeństwo urządzeń IoT.

Recommendation

Zaleca się aktualizację do najnowszej wersji frameworka ESF-IDF oraz monitorowanie i walidację poleceń Bluetooth, aby zminimalizować ryzyko związane z nieprawidłowymi danymi wejściowymi.

Original NVD description (English source)

ESF-IDF is the Espressif Internet of Things (IOT) Development Framework. In 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6, and earlier, when AVRCP is enabled on ESP32, receiving a malformed VENDOR DEPENDENT command from a peer device can cause the Bluetooth stack to access memory before validating the command buffer length. This may lead to an out-of-bounds read, potentially exposing unintended memory content or causing unexpected behavior.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS