CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2023-4617

Critical
Published: Translated: NVD NIST

Summary

W aplikacji Govee Home na systemy Android i iOS występuje podatność związana z nieprawidłową autoryzacją w metodzie HTTP POST, która pozwala zdalnemu atakującemu na kontrolowanie urządzeń należących do innych użytkowników poprzez zmianę wartości pól 'device', 'sku' i 'type'. Problem dotyczy wersji aplikacji Govee Home przed 5.9.

Risk Assessment

Atakujący może przejąć kontrolę nad urządzeniami innych użytkowników, co prowadzi do poważnych naruszeń prywatności i bezpieczeństwa. Może to również skutkować nieautoryzowanym dostępem do danych użytkowników.

Recommendation

Zaleca się aktualizację aplikacji Govee Home do wersji 5.9 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji i monitorować dostęp do urządzeń.

Original NVD description (English source)

Incorrect authorization vulnerability in HTTP POST method in Govee Home application on Android and iOS allows remote attacker to control devices owned by other users via changing "device", "sku" and "type" fields' values.  This issue affects Govee Home applications on Android and iOS in versions before 5.9.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS