Krytyczna podatność w firmware Google Nest WiFi Pro umożliwia zdalne wykonanie kodu z uprawnieniami root oraz naruszenie poufności danych użytkowników. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko – atakujący nie potrzebuje żadnych poświadczeń ani interakcji ofiary.
▸ Pokaż oryginał (EN)
Google Nest WiFi Pro root code-execution & user-data compromise
Podatność związana jest z brakiem szyfrowania wrażliwych danych (CWE-311), co może umożliwiać przechwycenie lub manipulację komunikacją urządzenia. Błąd pozwala nieuwierzytelnionemu atakującemu działającemu zdalnie na wykonanie dowolnego kodu w kontekście uprzywilejowanym (root) na urządzeniu. Zakres ataku wykracza poza samo urządzenie (Scope: Changed), co oznacza potencjalny wpływ na inne systemy w sieci.
Atakujący może uzyskać pełną kontrolę nad urządzeniem z uprawnieniami root, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności systemu oraz danych użytkownika przechowywanych lub przesyłanych przez router.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.google.com/product-documentation/answer/14273332). Zaleca się niezwłoczną aktualizację firmware urządzenia do wersji wskazanej przez Google jako bezpieczna.
Google Nest WiFi Pro oraz jego firmware – konkretne wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HGoogle Nest Wifi Pro
HWGooglewszystkie wersjeGoogle Nest Wifi Pro Firmware
OSGooglewszystkie wersje
Powiązane podatności
Wyciek pamięci Trusted Application w urządzeniach Google Nest Wifi
U-Boot environment is read from unauthenticated partition.
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption
Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML