បញ្ហាសុវត្ថិភាពចម្រុះត្រូវបានបង្ហាញនៅក្នុងឧបករណ៍បំពងសម្លេងឥតខ្សែ Sonos ដែលអាចត្រូវបានកេងចំណេញដើម្បីបង្ហាញព័ត៌មាន និងបញ្ជាកូដពីចម្ងាយ បើយោងតាមសំដី Zero Day Initiative (ZDI) កាលពីសប្តាហ៍មុន។បញ្ហាត្រូវបានបង្ហាញដោយមនុស្ស៣ក្រុមផ្សេងគ្នារួមមាន Qrious Secure, STAR Labs, DEVCORE នៅឯការប្រកួត Pwn2Own hacking contest ដែលធ្វើឡើងនៅទីក្រុង Toronto កាលពីឆ្នាំមុន ជាមួយនឹងប្រាក់រង្វាន់ចំនួន $105K។
បញ្ហាចំនួន៤ ប៉ះពាល់ដល់ Sonos One Speaker 70.3-35220 រួមមាន៖
– CVE-2023-27352 and CVE-2023-27355 (CVSS scores: 8.8) បញ្ហាគ្មានការអនុញ្ញាតដែលអនុញ្ញាតឱ្យហេគឃ័រនៅជាប់បណ្តាញណែតវកគ្នាអាចចូលដំណើរការកូដតាមចិត្តនៅលើឧបករណ៍រងផលប៉ះពាល់។
– CVE-2023-27353 and CVE-2023-27354 (CVSS score: 6.5) បញ្ហាគ្មានការអនុញ្ញាតដែលអនុញ្ញាតឱ្យហេគឃ័រដែលនៅជាប់គ្នាអាចបង្ហាញព័ត៌មានសំខាន់នៅលើឧបករណ៍ដែលរងផលប៉ះពាល់។
ខណៈពេលដែល CVE-2023-27352 កើតចេញពីពេលដំណើរការពាក្យបញ្ជា SMB directory query commands និង CVE-2023-27355 មាននៅក្នុង MPEG-TS parser។ការកេងចំណេញដែលជោគជ័យអាចឱ្យហេគឃ័រប្រតិបត្តិការកូដនៅក្នុងបរិបទជាអ្នកប្រើរដ្ឋបាល (root user)។ ទាំងការបញ្ចេញព័ត៌មានមានកំហុស អាចត្រូវបានដាក់បញ្ចូលគ្នាជាមួយនឹងបញ្ហាផ្សេងទៀតនៅក្នុងប្រព័ន្ធដើម្បីប្រតិបត្តិការកូដជាមួយនឹងការដំឡើងសិទ្ធិ។ បញ្ហាត្រូវបានបង្ហាញកាលពីចុងឆ្នាំ២០២២ បញ្ហានៅក្នុង Sonos គឺជាផ្នែកមួយនៃ Sonos S2 និង S1 software versions 15.1 and 11.7.1។ អ្នកប្រើត្រូវបានផ្តល់អនុសាសន៍ឱ្យដំឡើង patches ចុងក្រោយដើម្បីកាត់បន្ថយផលប៉ះពាល់៕
