CVE勧告の危険度スコアが高い脆弱性の対策もせずに放置するからねぇ

NDAでプロテクトされる対象のproprietaryなドライバ類でなく
OSSで何とかなるものについては製品開発の企業へ引き渡した時点で
利用する企業側が修正保守していくことになる..んでしょう

SoCベンダーが手元で保守しているオリジナルのSDKには
時間的に遅れて後回しになりつつでも反映させるんだろうけども

放置しているのは面倒くさいからというのもあるだろうが
そういうスキルを持っていて対処できる人材が社内にいないんでしょうよ
WEB UIいじって自社製品の見た目に合わせる、とかしかやってないんだから