CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-48548

Critical
Published: Translated: NVD NIST

Summary

Plik APK w Cloud Smart Lock w wersji 2.0.1 zawiera wyciekły adres URL, który umożliwia wywołanie API do łączenia fizycznych urządzeń. Ta podatność pozwala atakującym na dowolne skonstruowanie żądania, aby użyć aplikacji do łączenia z nieznanymi urządzeniami poprzez znalezienie ważnego numeru seryjnego za pomocą ataku brute force.

Risk Assessment

Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do fizycznych urządzeń, co może prowadzić do utraty kontroli nad nimi oraz potencjalnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się aktualizację aplikacji Cloud Smart Lock do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć możliwość przeprowadzania ataków brute force.

Original NVD description (English source)

The APK file in Cloud Smart Lock v2.0.1 has a leaked a URL that can call an API for binding physical devices. This vulnerability allows attackers to arbitrarily construct a request to use the app to bind to unknown devices by finding a valid serial number via a bruteforce attack.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS