Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu urządzeń Govee i koordynował proces ujawniania informacji.

Podatność CVE-2025-10910: Podatność w procesie dodawania urządzeń do konta w chmurze Govee umożliwia zdalnemu atakującemu powiązanie istniejącego, podłączonego do Internetu urządzenia Govee z kontem atakującego, co skutkuje pełnym przejęciem kontroli nad urządzeniem oraz usunięciem go z konta jego prawowitego właściciela.
Interfejs API odpowiedzialny za powiązanie urządzenia po stronie serwera akceptuje zestaw identyfikatorów: device, sku, type oraz pole value, które jest obliczane po stronie klienta i nie jest kryptograficznie powiązane z żadnym sekretem pochodzącym bezpośrednio z urządzenia.

Podatność została potwierdzona na urządzeniu Govee H6056 (lampa) w wersji oprogramowania 1.08.13, jednak może dotyczyć również innych urządzeń Govee komunikujących się z chmurą. Producent weryfikuje inne potencjalnie zagrożone modele urządzeń.

Producent wdrożył poprawki zabezpieczeń po stronie serwera i automatyczne aktualizacje oprogramowania dla modelu H6056. Większość urządzeń H6056 została automatycznie zaktualizowana. Pozostali użytkownicy urządzeń H6056 muszą ręcznie zaktualizować oprogramowanie za pomocą aplikacji Govee Home, utrzymując połączenie z internetem. Użytkownicy powinni otworzyć aplikację Govee Home, dotknąć karty urządzenia H6056, aby przejść na stronę szczegółów urządzenia, dotknąć ikony ustawień w prawym górnym rogu, przejść do sekcji "Informacje o urządzeniu" (wersja oprogramowania) i dotknąć przycisku "Aktualizuj", aby natychmiast zainstalować poprawkę zabezpieczeń.

Produkty Govee H6056 z wersjami urządzeń 1.00.10 lub 1.00.11 nie mogą otrzymać aktualizacji oprogramowania z powodu ograniczeń sprzętowych.

Podziękowania

Za zgłoszenie podatności dziękujemy Janowi Adamskiemu i Markowi Janiszewskiemu z Zakładu Cyberbezpieczeństwa NASK - PIB.