VDB

CVE-2020-28388

CVE-2020-28388 PUBLISHED

In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen "NUMBER:JACK" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.

EPSS 0.42% · 62.5th percentile

Risk Scores

EPSS Score
0.42%
62.5th percentile

Affected Products

VendorProductVersions
SiemensSiemens Nucleus RTOS
Open SourceOpen Source TCP/IP Stack

Timeline

  • Oct 2, 2020 PoC Published
  • Nov 6, 2020 PoC Published
  • Feb 9, 2021 CVE Published
  • Apr 14, 2021 EPSS Score
  • Jun 23, 2021 EPSS Score
  • Aug 24, 2021 EPSS Score
  • Sep 6, 2021 PoC Published
  • Oct 26, 2021 EPSS Score
  • Jan 6, 2022 EPSS Score
  • Feb 4, 2022 EPSS Score
  • Feb 28, 2022 EPSS Score
  • Apr 1, 2022 EPSS Score
Open in Interactive Console →
$ Console Community · 100/wk Open console ›