CVE-2024-46442
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 - wyżej niż 41% wszystkich znanych CVE
Streszczenie
Podatność w systemie BYD Dilink Headunit w wersjach od 3.0 do 4.0 umożliwia atakującym ominięcie uwierzytelniania poprzez atak brute-force. Luka wynika z braku ograniczeń liczby prób logowania.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do systemu infotainment pojazdu, co może prowadzić do naruszenia prywatności użytkownika lub manipulacji ustawieniami pojazdu.
Rekomendacja
Należy zaktualizować system BYD Dilink Headunit do najnowszej dostępnej wersji, która zawiera poprawki zabezpieczeń. Wdrożyć mechanizmy blokady konta po określonej liczbie nieudanych prób logowania.
Oryginalny opis (angielski, źródło NVD)
An issue in the BYD Dilink Headunit System v3.0 to v4.0 allows attackers to bypass authentication via a bruteforce attack.

