Podatność w urządzeniu EveHome Eve Play (do wersji 1.1.42) wynika z zastosowania algorytmu hashowania haseł o niewystarczającej złożoności obliczeniowej. Błąd jest krytyczny, ponieważ umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
An attacker could exploit the 'Use of Password Hash With Insufficient Computational Effort' vulnerability in EveHome Eve Play to execute arbitrary code. This issue affects Eve Play: through 1.1.42.
Urządzenie EveHome Eve Play przechowuje lub przetwarza hasła przy użyciu funkcji skrótu o niedostatecznym koszcie obliczeniowym (CWE-916), co znacznie ułatwia ich odwrócenie metodami siłowymi lub słownikowymi. Uzyskane w ten sposób dane uwierzytelniające mogą zostać wykorzystane przez atakującego do przejęcia kontroli nad urządzeniem i wykonania dowolnego kodu (RCE). Podatność jest dostępna zdalnie przez sieć, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.
Atakujący może przejąć pełną kontrolę nad urządzeniem EveHome Eve Play, wykonując dowolny kod zdalnie, co zagraża poufności, integralności oraz dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.evehome.com/en-us/security-content). Zaleca się niezwłoczną aktualizację firmware urządzenia do wersji wyższej niż 1.1.42, gdy tylko zostanie udostępniona przez producenta.
EveHome Eve Play we wszystkich wersjach do 1.1.42 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H