Cosori Smart Air Fryer中的远程执行漏洞

Cosori Smart Air Fryer是一种支持WiFi的厨房器具，可以使用各种方法和设置烹饪食物。用户还可以使用设备的Wi-Fi功能启动和停止烹饪，查找配方指南并监控烹饪状态。

TALOS-2020-1216（CVE-2020-28592）和TALOS-2020-1217（CVE-2020-28593）是远程代码执行漏洞，可以允许攻击者将代码重新注入设备。这可以假设允许对手改变气体炸锅上的温度，烹饪时间和设置，或者在没有用户的知识的情况下启动它。对手必须对一些脆弱性工作的空气炸薯条进行物理访问。

攻击者可以通过向包含唯一JSON对象的设备发送特制的数据包来利用这些漏洞，这将允许它们执行任意代码。

Cisco Talos披露这些漏洞尽管宇宙没有官方修复，遵守思科的脆弱性披露政策。 Corosi在政策中概述的90天期间没有适当的反应。

Talos测试并确认Cosori Smart 5.8-Quart Air Fryer CS158-AF，版本1.1.0可以通过这些漏洞利用。

以下Snortⓡ规则将检测剥削针对这些漏洞的漏洞尝试：56729.可以在未来释放附加规则，当前规则可能会进行更改，等待额外的漏洞信息。有关最新的规则信息，请参阅FirePOWER Management Center或Snort.org。