Katalog CVE

CVE-2024-48548

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Plik APK w Cloud Smart Lock w wersji 2.0.1 zawiera wyciekły adres URL, który umożliwia wywołanie API do łączenia fizycznych urządzeń. Ta podatność pozwala atakującym na dowolne skonstruowanie żądania, aby użyć aplikacji do łączenia z nieznanymi urządzeniami poprzez znalezienie ważnego numeru seryjnego za pomocą ataku brute force.

Ocena ryzyka

Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do fizycznych urządzeń, co może prowadzić do utraty kontroli nad nimi oraz potencjalnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację aplikacji Cloud Smart Lock do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć możliwość przeprowadzania ataków brute force.

Oryginalny opis (angielski, źródło NVD)

The APK file in Cloud Smart Lock v2.0.1 has a leaked a URL that can call an API for binding physical devices. This vulnerability allows attackers to arbitrarily construct a request to use the app to bind to unknown devices by finding a valid serial number via a bruteforce attack.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS