NVD Vulnerability Detail

CVE-2020-5551

Summary	Toyota 2017 Model Year DCU (Display Control Unit) allows an unauthenticated attacker within Bluetooth range to cause a denial of service attack and/or execute an arbitrary command. The affected DCUs are installed in Lexus (LC, LS, NX, RC, RC F), TOYOTA CAMRY, and TOYOTA SIENNA manufactured in the regions other than Japan from Oct. 2016 to Oct. 2019. An attacker with certain knowledge on the target vehicle control system may be able to send some diagnostic commands to ECUs with some limited availability impacts; the vendor states critical vehicle controls such as driving, turning, and stopping are not affected.
Publication Date	March 30, 2020, 2:15 p.m.
Registration Date	Jan. 26, 2021, 11:59 a.m.
Last Update	Nov. 21, 2024, 2:34 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:h:toyota:display_control_unit:-:::::::*

Related information, measures and tools

No	URL	タグ
1	https://global.toyota/en/newsroom/corporate/32120629.html	Exploit Vendor Advisory
2	https://global.toyota/en/newsroom/corporate/32120629.html	Exploit Vendor Advisory
3	https://jvn.jp/en/vu/JVNVU99396686/index.html	Third Party Advisory
4	https://jvn.jp/en/vu/JVNVU99396686/index.html	Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-276	不適切なデフォルトパーミッション	https://cwe.mitre.org/data/definitions/276.html

JVN Vulnerability Information

トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

Title	トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
Summary	トヨタ自動車製 DCU (ディスプレイコントロールユニット) には、BlueBorne の脆弱性に起因する脆弱性が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	第三者によって、DCU に対してサービス運?妨害 (DoS) 攻撃が行われたり任意のコマンドを実装されたりする可能性があります。また、DCU を経由して車両に対する操作が行われる可能性があります。開発者によると、走る、曲る、止まるといった車両運動制御には影響しない事を確認済みとのことです。詳しくは、【ベンダ情報】および【参考情報】をご確認ください。
Solution	[アップデートする] 開発者によると、本脆弱性に対応した DCU のアップデートを提供しているとのことです。詳しくは、【ベンダ情報】をご確認ください。
Publication Date	March 30, 2020, midnight
Registration Date	March 31, 2020, 12:12 p.m.
Last Update	April 21, 2020, 12:22 p.m.

Affected System

トヨタ自動車

ディスプレイコントロールユニット

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5551	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5551
National Vulnerability Database (NVD)
2	CVE-2020-5551	https://nvd.nist.gov/vuln/detail/CVE-2020-5551

ベンダー情報

No	Name	URL
トヨタ自動車
1	Tencent Keen Security Labの自動車サイバーセキュリティ向上への貢献とトヨタ自動車の取り組みについて	https://global.toyota/jp/newsroom/corporate/32120597.html

その他

No	Name	URL
JVN
1	JVNVU#99396686	https://jvn.jp/vu/JVNVU99396686/index.html
US-CERT Vulnerability Note
2	VU#240311	https://www.kb.cert.org/vuls/id/240311/
関連文書
3	Tencent Keen Security Lab	https://keenlab.tencent.com/en/2020/03/30/Tencent-Keen-Security-Lab-Experimental-Security-Assessment-on-Lexus-Cars/

Change Log

No	Changed Details	Date of change
1	[2020年03月31日] 掲載	March 31, 2020, 12:12 p.m.
2	[2020年04月21日] 参考情報：National Vulnerability Database (NVD) (CVE-2020-5551) を追加	April 21, 2020, 12:20 p.m.