Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w aplikacji Govee Home (Android & iOS)
19 grudnia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-4617
Data publikacji 19 grudnia 2024
Producent podatnego oprogramowania Govee
Nazwa podatnego oprogramowania Govee Home
Podatne wersje Wszystkie do 5.9
Typ podatności (CWE) Incorrect Authorization (CWE-863)
Źródło zgłoszenia Badania własne NASK

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Govee Home i koordynował proces ujawniania informacji.

Podatność CVE-2023-4617 w autoryzacji opartej o metodę HTTP POST umożliwia zdalnemu atakującemu kontrolowanie urządzeń nienależących do niego poprzez zmianę wartości pól „device”, „sku” i „type” w treści żądań wysyłanych do serwera. Ten problem dotyczy aplikacji Govee Home na Androida i iOS w wersjach wcześniejszych niż 5.9.

Podziękowania

Za zgłoszenie podatności dziękujemy Janowi Adamskiemu oraz Markowi Janiszewskiemu z Zakładu Cyberbezpieczeństwa NASK.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.