CVE-2025-69969
CriticalSummary
Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia przechwytywanie danych w postaci niezaszyfrowanej oraz nieautoryzowane przejęcie oprogramowania układowego za pomocą usług OTA. Atakujący mogą zdalnie manipulować urządzeniem, co może prowadzić do utraty kontroli nad nim.
Recommendation
Zaleca się wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji w protokole BLE oraz monitorowanie i zabezpieczanie komunikacji z urządzeniem. Należy również rozważyć aktualizację oprogramowania układowego, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
A lack of authentication and authorization mechanisms in the Bluetooth Low Energy (BLE) communication protocol of SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 allows attackers to reverse engineer the protocol and execute arbitrary commands on the device without establishing a connection. This is exploitable over Bluetooth Low Energy (BLE) proximity (Adjacent), requiring no physical contact with the device. Furthermore, the vulnerability is not limited to arbitrary commands but includes cleartext data interception and unauthenticated firmware hijacking via OTA services.

