小米互联应用近日曝出严重安全漏洞(CVE-2024-45347),该漏洞CVSS评分高达9.6分,可能使数百万用户面临设备被未授权访问的风险。攻击者可利用该漏洞绕过认证机制,完全控制运行受影响软件的受害者设备。
漏洞概要
1. 小米互联应用存在高危漏洞(CVE-2024-45347),攻击者可绕过验证逻辑获取设备未授权访问权限
2. 漏洞源于互联应用协议缺陷,特别是认证机制存在缺陷,可能导致整个系统被攻陷
3. 受影响版本为小米互联应用3.1.895.10,用户应立即升级至已修复的3.1.921.10版本
认证绕过漏洞分析
该漏洞源于应用程序验证逻辑的根本性缺陷,恶意攻击者可借此绕过认证。根据小米安全公告,缺陷存在于互联应用协议中,具体涉及验证用户访问权限的认证机制。
这种绕过漏洞使攻击者能够规避正常安全检查,未授权访问运行受影响软件的受害者设备。从技术角度看,攻击者可能利用应用程序通信协议或认证握手过程中的弱点进行攻击。
9.6分的CVSS评分表明,成功利用该漏洞可能导致受影响系统完全沦陷,攻击者可能访问敏感数据、安装恶意软件或维持对受控设备的持久访问。该漏洞由山东大学网络空间安全学院的刘晓峰发现并报告给小米安全中心(MiSRC)。
受影响版本及安全更新
经确认,小米互联应用3.1.895.10版本存在该安全漏洞。使用该特定版本的用户面临直接风险,应立即更新软件。小米已发布修复版本3.1.921.10,解决了该漏洞并恢复了正常的验证逻辑功能。
小米未披露该漏洞是否已被野外利用,但漏洞的严重性表明用户应优先更新应用程序。互联应用旨在实现小米设备与其他智能家居产品的无缝连接,是该公司生态系统中的关键组件。
小米继续通过MiSRC鼓励安全研究人员参与其漏洞赏金计划,强调其保护全球数亿用户的承诺。公司表示,与安全社区的合作对于在漏洞被恶意利用前发现和解决问题至关重要。
编辑:陈十九
审核:商密君
原文始发于微信公众号(商密君):小米互联应用曝高危漏洞,设备面临被完全控制风险
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4201710.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论