Katalog CVE

CVE-2023-4617

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W aplikacji Govee Home na systemy Android i iOS występuje podatność związana z nieprawidłową autoryzacją w metodzie HTTP POST, która pozwala zdalnemu atakującemu na kontrolowanie urządzeń należących do innych użytkowników poprzez zmianę wartości pól 'device', 'sku' i 'type'. Problem dotyczy wersji aplikacji Govee Home przed 5.9.

Ocena ryzyka

Atakujący może przejąć kontrolę nad urządzeniami innych użytkowników, co prowadzi do poważnych naruszeń prywatności i bezpieczeństwa. Może to również skutkować nieautoryzowanym dostępem do danych użytkowników.

Rekomendacja

Zaleca się aktualizację aplikacji Govee Home do wersji 5.9 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji i monitorować dostęp do urządzeń.

Oryginalny opis (angielski, źródło NVD)

Incorrect authorization vulnerability in HTTP POST method in Govee Home application on Android and iOS allows remote attacker to control devices owned by other users via changing "device", "sku" and "type" fields' values.  This issue affects Govee Home applications on Android and iOS in versions before 5.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS