CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69969

Critical
Published: Translated: NVD NIST

Summary

Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia przechwytywanie danych w postaci niezaszyfrowanej oraz nieautoryzowane przejęcie oprogramowania układowego za pomocą usług OTA. Atakujący mogą zdalnie manipulować urządzeniem, co może prowadzić do utraty kontroli nad nim.

Recommendation

Zaleca się wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji w protokole BLE oraz monitorowanie i zabezpieczanie komunikacji z urządzeniem. Należy również rozważyć aktualizację oprogramowania układowego, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

A lack of authentication and authorization mechanisms in the Bluetooth Low Energy (BLE) communication protocol of SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 allows attackers to reverse engineer the protocol and execute arbitrary commands on the device without establishing a connection. This is exploitable over Bluetooth Low Energy (BLE) proximity (Adjacent), requiring no physical contact with the device. Furthermore, the vulnerability is not limited to arbitrary commands but includes cleartext data interception and unauthenticated firmware hijacking via OTA services.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS