| CVE ID | CVE-2023-4617 |
| Data publikacji | 19 grudnia 2024 |
| Producent podatnego oprogramowania | Govee |
| Nazwa podatnego oprogramowania | Govee Home |
| Podatne wersje | Wszystkie do 5.9 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Badania własne NASK |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Govee Home i koordynował proces ujawniania informacji.
Podatność CVE-2023-4617 w autoryzacji opartej o metodę HTTP POST umożliwia zdalnemu atakującemu kontrolowanie urządzeń nienależących do niego poprzez zmianę wartości pól „device”, „sku” i „type” w treści żądań wysyłanych do serwera. Ten problem dotyczy aplikacji Govee Home na Androida i iOS w wersjach wcześniejszych niż 5.9.
Podziękowania
Za zgłoszenie podatności dziękujemy Janowi Adamskiemu oraz Markowi Janiszewskiemu z Zakładu Cyberbezpieczeństwa NASK.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.