Katalog CVE

CVE-2025-66409

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

Ocena ryzyka

Może to prowadzić do odczytu poza zakresem, co potencjalnie ujawnia niezamierzone treści pamięci lub powoduje nieprzewidziane zachowanie systemu. Tego typu podatność może wpłynąć na integralność i bezpieczeństwo urządzeń IoT.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji frameworka ESF-IDF oraz monitorowanie i walidację poleceń Bluetooth, aby zminimalizować ryzyko związane z nieprawidłowymi danymi wejściowymi.

Oryginalny opis (angielski, źródło NVD)

ESF-IDF is the Espressif Internet of Things (IOT) Development Framework. In 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6, and earlier, when AVRCP is enabled on ESP32, receiving a malformed VENDOR DEPENDENT command from a peer device can cause the Bluetooth stack to access memory before validating the command buffer length. This may lead to an out-of-bounds read, potentially exposing unintended memory content or causing unexpected behavior.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS