Vulnerabilidad en la aplicación iZZi connect
ID CVE | CVE-2024-0390 |
Fecha de publicación | 15 de febrero de 2024 |
Proveedor | INPRAX sp. zoo |
Producto | conexión iZZi |
Versiones vulnerables | Todo debajo 2024010401 |
Tipo de vulnerabilidad (CWE) | Uso de credenciales codificadas (CWE-798) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska ha recibido un informe sobre la vulnerabilidad en conexión iZZi aplicación en Android y participó en su coordinación. La aplicación contiene credenciales de cola MQTT codificadas. Los dispositivos de recuperación física correspondientes utilizan la misma cola MQTT. La explotación de esta vulnerabilidad podría permitir el acceso no autorizado para gestionar y leer los parámetros de la unidad de recuperación «reQnet iZZi».
El proveedor ha confirmado la debilidad y le ha asignado el número CVE-2024-0390. La vulnerabilidad se solucionó en la versión 2024010401, lanzada el 8 de enero de 2024.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.