| CVE ID | CVE-2024-0390 |
| Data publikacji | 15 lutego 2024 |
| Producent podatnego oprogramowania | INPRAX sp. z o.o. |
| Nazwa podatnego oprogramowania | iZZi connect |
| Podatne wersje | Wszystkie poniżej 2024010401 |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w aplikacji iZZi connect i uczestniczył w jej koordynacji. Aplikacja zawiera zakodowane na stałe, niezmienne we wszystkich istalacjach, dane logowania do technicznego konta z dostępem do kolejki MQTT. Kolejka ta jest również wykorzystywana przez powiązaną z aplikacją fizyczną centralę rekuperacji. Wykorzystanie tej podatności potencjalnie umożliwia nieautoryzowany dostęp do zarządzania i odczytu parametrów centrali rekuperacyjnej "reQnet iZZi".
Podatność, której nadano identyfikator CVE-2024-0390, została potwierdzona przez producenta i naprawiona w wersji 2024010401 opublikowanej 08.01.2024 r.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.