Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w aplikacji iZZi connect
15 lutego 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-0390
Data publikacji 15 lutego 2024
Producent podatnego oprogramowania INPRAX sp. z o.o.
Nazwa podatnego oprogramowania iZZi connect
Podatne wersje Wszystkie poniżej 2024010401
Typ podatności (CWE) Use of Hard-coded Credentials (CWE-798)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w aplikacji iZZi connect i uczestniczył w jej koordynacji. Aplikacja zawiera zakodowane na stałe, niezmienne we wszystkich istalacjach, dane logowania do technicznego konta z dostępem do kolejki MQTT. Kolejka ta jest również wykorzystywana przez powiązaną z aplikacją fizyczną centralę rekuperacji. Wykorzystanie tej podatności potencjalnie umożliwia nieautoryzowany dostęp do zarządzania i odczytu parametrów centrali rekuperacyjnej "reQnet iZZi".

Podatność, której nadano identyfikator CVE-2024-0390, została potwierdzona przez producenta i naprawiona w wersji 2024010401 opublikowanej 08.01.2024 r.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.