关键漏洞信息 漏洞编号: JVN#17127920 漏洞描述: - 概述: Smart TV Box 未能正确限制访问权限。 - 详细描述: 由 KDDI CORPORATION 提供的 Smart TV Box 在 LAN 侧接口的 5555/TCP 端口为 Android Debug Bridge 提供访问。当有线电视提供商为个人住宅设置 Smart TV Box 时,从外部直接访问 LAN 侧接口的 Smart TV Box 功能被禁用。然而,如果原始设置稍后被更改,例如 LAN 侧接口的互联网直接连接被启用,那么 LAN 侧接口的 5555/TCP 端口对 Android Debug Bridge 的访问将被启用。结果,无需用户意图即可执行任意操作,远程攻击者可能会在设备上执行任意操作(CWE-284)。 影响: 远程攻击者可以在用户不知情的情况下对设备执行任意操作,如安装任意软件或更改设备设置。 解决方案: - 更新固件: 根据开发人员提供的信息,将固件更新到最新版本。 - 开发人员还建议用户通过遵循开发人员提供的指南检查设备的适当网络设置。 供应商状态: - 供应商: KDDI CORPORATION - 状态: 易受攻击 - 最后更新: 2019/08/23 - 供应商备注: KDDI CORPORATION 网站 CVSS 评分: - CVSS v3 基础评分: 7.3 - CVSS v2 基础评分: 6.8 CVE 编号: CVE-2019-6005 JVN iPedia: JVNDL-2019-000053 漏洞发现: 该漏洞由信息安全实验室的 Morikoshi Mori 和 Masaki Kubo 报告给 IPA。