CVE-2024-48548
KrytyczneStreszczenie
Plik APK w Cloud Smart Lock w wersji 2.0.1 zawiera wyciekły adres URL, który umożliwia wywołanie API do łączenia fizycznych urządzeń. Ta podatność pozwala atakującym na dowolne skonstruowanie żądania, aby użyć aplikacji do łączenia z nieznanymi urządzeniami poprzez znalezienie ważnego numeru seryjnego za pomocą ataku brute force.
Ocena ryzyka
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do fizycznych urządzeń, co może prowadzić do utraty kontroli nad nimi oraz potencjalnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację aplikacji Cloud Smart Lock do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć możliwość przeprowadzania ataków brute force.
Oryginalny opis (angielski, źródło NVD)
The APK file in Cloud Smart Lock v2.0.1 has a leaked a URL that can call an API for binding physical devices. This vulnerability allows attackers to arbitrarily construct a request to use the app to bind to unknown devices by finding a valid serial number via a bruteforce attack.

