Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu urządzeń Govee i koordynował proces ujawniania informacji.

Podatność CVE-2025-10910: Podatność w procesie dodawania urządzeń do konta w chmurze Govee umożliwia zdalnemu atakującemu powiązanie istniejącego, podłączonego do Internetu urządzenia Govee z kontem atakującego, co skutkuje pełnym przejęciem kontroli nad urządzeniem oraz usunięciem go z konta jego prawowitego właściciela.
Interfejs API odpowiedzialny za powiązanie urządzenia po stronie serwera akceptuje zestaw identyfikatorów: device, sku, type oraz pole value, które jest obliczane po stronie klienta i nie jest kryptograficznie powiązane z żadnym sekretem pochodzącym bezpośrednio z urządzenia.

Podatność została potwierdzona na urządzeniu Govee H6056 (lampa) w wersji oprogramowania 1.08.13, jednak może dotyczyć również innych urządzeń Govee komunikujących się z chmurą. Producent nie jest w stanie dostarczyć listy wszystkich podatnych modeli, ale wdraża poprawki w oprogramowaniu urządzeń oraz po stronie serwera.
Urządzenia po okresie wsparcia wymagają wymiany na nowsze modele otrzymujące aktualizacje.

Podziękowania

Za zgłoszenie podatności dziękujemy Janowi Adamskiemu i Markowi Janiszewskiemu z Zakładu Cyberbezpieczeństwa NASK - PIB.