CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-9306
https://notcve.org/view.php?id=CVE-2020-9306
Tesla SolarCity Solar Monitoring Gateway through 5.46.43 has a "Use of Hard-coded Credentials" issue because Digi ConnectPort X2e uses a .pyc file to store the cleartext password for the python user account. Tesla SolarCity Solar Monitoring Gateway versiones hasta 5.46.43, presenta un problema de "Use of Hard-coded Credentials" porque Digi ConnectPort X2e usa un archivo .pyc para almacenar la contraseña en texto sin cifrar para la cuenta de usuario de python • https://github.com/fireeye/Vulnerability-Disclosures/blob/master/FEYE-2020-0019/FEYE-2020-0019.md https://www.fireeye.com/blog/threat-research.html https://www.fireeye.com/blog/threat-research/2021/02/solarcity-exploitation-of-x2e-iot-device-part-one.html https://www.fireeye.com/blog/threat-research/2021/02/solarcity-exploitation-of-x2e-iot-device-part-two.html • CWE-522: Insufficiently Protected Credentials CWE-798: Use of Hard-coded Credentials •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-29438
https://notcve.org/view.php?id=CVE-2020-29438
Tesla Model X vehicles before 2020-11-23 have key fobs that accept firmware updates without signature verification. This allows attackers to construct firmware that retrieves an unlock code from a secure enclave chip. Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que aceptan actualizaciones de firmware sin verificación de firma. Esto permite a atacantes construir firmware que recupere un código de desbloqueo de un chip de enclave seguro • https://www.wired.com/story/tesla-model-x-hack-bluetooth • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 4.6EPSS: 0%CPEs: 2EXPL: 1CVE-2020-29439
https://notcve.org/view.php?id=CVE-2020-29439
Tesla Model X vehicles before 2020-11-23 have key fobs that rely on five VIN digits for the authentication needed for a body control module (BCM) to initiate a Bluetooth wake-up action. (The full VIN is visible from outside the vehicle.) Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que dependen de cinco dígitos VIN para la autenticación necesaria para que un módulo de control de carrocería (BCM) inicie una acción de activación de Bluetooth. (El VIN completo es visible desde el exterior del vehículo) • https://www.wired.com/story/tesla-model-x-hack-bluetooth •
CVSS: 4.6EPSS: 0%CPEs: 2EXPL: 1CVE-2020-29440
https://notcve.org/view.php?id=CVE-2020-29440
Tesla Model X vehicles before 2020-11-23 do not perform certificate validation during an attempt to pair a new key fob with the body control module (BCM). This allows an attacker (who is inside a vehicle, or is otherwise able to send data over the CAN bus) to start and drive the vehicle with a spoofed key fob. Los vehículos Tesla Model X anterior al 23-11-2020 no realizan la comprobación del certificado durante un intento de emparejar un nuevo llavero con el módulo de control de carrocería (BCM). Esto permite a un atacante (que se encuentra dentro de un vehículo, o que puede enviar datos por medio del bus CAN) arrancar y conducir el vehículo con un llavero falso • https://www.wired.com/story/tesla-model-x-hack-bluetooth • CWE-295: Improper Certificate Validation •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-15912
https://notcve.org/view.php?id=CVE-2020-15912
Tesla Model 3 vehicles allow attackers to open a door by leveraging access to a legitimate key card, and then using NFC Relay. NOTE: the vendor has developed Pin2Drive to mitigate this issue **EN DISPUTA** Los vehículos Tesla Model 3, permiten a atacantes abrir una puerta al aprovechar el acceso a una tarjeta de acceso legítima y luego usar el NFC Relay. NOTA: el proveedor ha desarrollado Pin2Drive para mitigar este problema • https://cansecwest.com/post/2020-03-09-22:00:00_2020_Speakers https://twitter.com/Kevin2600/status/1218892338182836224 https://www.carhackingvillage.com/speaker-bios#htm3nrr https://www.youtube.com/watch?v=VYKsfgox-bs https://www.youtube.com/watch?v=kQWg-Ywv3S4 https://www.youtube.com/watch?v=nn-_3AbtEkI •