Podatność w aplikacji Govee Home na Android i iOS umożliwia nieuwierzytelnionemu atakującemu zdalne sterowanie urządzeniami należącymi do innych użytkowników. Luka wynika z braku poprawnej weryfikacji uprawnień w metodzie HTTP POST, co nadaje jej maksymalny wynik CVSS 10.0.
▸ Pokaż oryginał (EN)
Incorrect authorization vulnerability in HTTP POST method in Govee Home application on Android and iOS allows remote attacker to control devices owned by other users via changing "device", "sku" and "type" fields' values. This issue affects Govee Home applications on Android and iOS in versions before 5.9.
Aplikacja Govee Home nie weryfikuje prawidłowo, czy użytkownik wysyłający żądanie HTTP POST jest właścicielem wskazanego urządzenia. Atakujący może zmodyfikować wartości pól 'device', 'sku' oraz 'type' w treści żądania, podając identyfikatory urządzeń należących do innych użytkowników. W ten sposób możliwe jest wydawanie poleceń cudzym urządzeniom bez żadnej autoryzacji i bez konieczności interakcji ofiary.
Atakujący może przejąć pełną kontrolę nad urządzeniami smart home innych użytkowników (np. oświetleniem, urządzeniami AGD), wpływając na ich dostępność i integralność działania. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez wiedzy właściciela urządzeń.
Należy zaktualizować aplikację Govee Home do wersji 5.9 lub nowszej, dostępnej w Google Play Store oraz Apple App Store. Do czasu aktualizacji zaleca się ograniczenie korzystania z aplikacji w środowiskach publicznych.
Aplikacja Govee Home na Android i iOS w wersjach wcześniejszych niż 5.9.
Podatność została zgłoszona przez CERT Polska, które opublikowało szczegółowy opis techniczny pod adresem cert.pl. Data publikacji CVE (2024-12-19) znacząco odbiega od roku identyfikatora (2023), co może wskazywać na opóźnioną publikację po przeprowadzeniu odpowiedzialnego ujawnienia (responsible disclosure).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H