Cosori Smart Air Fryer中的远程执行漏洞

2021-04-20 10:51:26

Cosori Smart Air Fryer是一种支持WiFi的厨房器具,可以使用各种方法和设置烹饪食物。用户还可以使用设备的Wi-Fi功能启动和停止烹饪,查找配方指南并监控烹饪状态。

TALOS-2020-1216(CVE-2020-28592)和TALOS-2020-1217(CVE-2020-28593)是远程代码执行漏洞,可以允许攻击者将代码重新注入设备。这可以假设允许对手改变气体炸锅上的温度,烹饪时间和设置,或者在没有用户的知识的情况下启动它。对手必须对一些脆弱性工作的空气炸薯条进行物理访问。

攻击者可以通过向包含唯一JSON对象的设备发送特制的数据包来利用这些漏洞,这将允许它们执行任意代码。

Cisco Talos披露这些漏洞尽管宇宙没有官方修复,遵守思科的脆弱性披露政策。 Corosi在政策中概述的90天期间没有适当的反应。

Talos测试并确认Cosori Smart 5.8-Quart Air Fryer CS158-AF,版本1.1.0可以通过这些漏洞利用。

以下Snortⓡ规则将检测剥削针对这些漏洞的漏洞尝试:56729.可以在未来释放附加规则,当前规则可能会进行更改,等待额外的漏洞信息。有关最新的规则信息,请参阅FirePOWER Management Center或Snort.org。