CVE-2021-28372
| Summary |
ThroughTek's Kalay Platform 2.0 network allows an attacker to impersonate an arbitrary ThroughTek (TUTK) device given a valid 20-byte uniquely assigned identifier (UID). This could result in an attacker hijacking a victim's connection and forcing them into supplying credentials needed to access the victim TUTK device.
|
| Publication Date |
Aug. 18, 2021, 7:15 a.m. |
| Registration Date |
Aug. 18, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 2:59 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
8.3
|
| Vector |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : HIGH
|
| Score |
7.6
|
| Vector |
AV:N/AC:H/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
はい
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:throughtek:kalay_p2p_software_development_kit:*:*:*:*:*:*:*:* |
|
|
|
3.1.10 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
ThroughTek 製 Kalay P2P SDK におけるアクセス制限不備の脆弱性
| Title |
ThroughTek 製 Kalay P2P SDK におけるアクセス制限不備の脆弱性
|
| Summary |
Kalay P2P Software Development Kit (SDK) は、インターネット経由でオーディオストリームやビデオストリームにアクセスするための機能を提供する、ThroughTek 社製の開発キットです。 Kalay P2P Software Development Kit (SDK) には、アクセス制限不備 (CWE-284、CVE-2021-28372) の脆弱性が存在します。
|
| Possible impacts |
遠隔の第三者によって、カメラフィードのような機微な情報にアクセスされたり、任意のコードを実行されたりする可能性があります。 |
| Solution |
[アップグレートする] SDK が v3.1.10 より前の場合、開発者はライブラリを v3.3.1.0 または v3.4.2.0 にアップグレードし、Authkey と DTLS を有効にすることを推奨しています。 [ワークアラウンドを実施する] SDK が v3.1.10 およびそれ以降の場合、開発者は Authkey と DTLS を有効にすることを推奨しています。 |
| Publication Date |
Aug. 18, 2021, midnight |
| Registration Date |
Aug. 19, 2021, 1:58 p.m. |
| Last Update |
Aug. 19, 2021, 1:58 p.m. |
Affected System
| ThroughTek Co., Ltd. |
|
P2P Software Development Kit DTLS を有効にしないで AVAPI モジュールを使用するデバイスのファームウェア
|
|
P2P Software Development Kit IOTC への接続に AuthKey を使用しないデバイスのファームウェア
|
|
P2P Software Development Kit nossl タグが付いた SDK バージョン
|
|
P2P Software Development Kit P2PTunnel または RDT モジュールを使用するデバイスのファームウェア
|
|
P2P Software Development Kit v3.1.5 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年08月19日] 掲載 |
Aug. 19, 2021, 12:25 p.m. |