Vulnerabilidad en la aplicación móvil Govee Home (Android e iOS)
diciembre 19, 2024
| ID CVE | CVE-2023-4617 |
| Fecha de publicación | 19 de diciembre de 2024 |
| Proveedor | Govee |
| Producto | Inicio Govee |
| Versiones vulnerables | Todo antes del 5.9 |
| Tipo de vulnerabilidad (CWE) | Autorización incorrecta (CWE-863) |
| Fuente del informe | Investigación propia de NASK |
Descripción
CERT Polska recibió un informe sobre la vulnerabilidad en el software Govee Home y participó en la coordinación de su divulgación.
Vulnerabilidad de autorización incorrecta CVE-2023-4617 en el método HTTP POST permite a un atacante remoto controlar dispositivos propiedad de otros usuarios cambiando los valores de los campos «dispositivo», «sku» y «tipo». Este problema afecta a las aplicaciones Govee Home en Android e iOS en versiones anteriores a la 5.9.
Créditos
Agradecemos a Jan Adamski y Marek Janiszewski de NASK por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.