CRITICAL🇬🇧 English

CVE-2024-5743

RCE w EveHome Eve Play — słabe hashowanie haseł umożliwia wykonanie kodu

CVSS 9.8v3.1pub. 2025-01-13upd. 2026-04-15

Podatność w urządzeniu EveHome Eve Play (do wersji 1.1.42) wynika z zastosowania algorytmu hashowania haseł o niewystarczającej złożoności obliczeniowej. Błąd jest krytyczny, ponieważ umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia.

Pokaż oryginał (EN)

An attacker could exploit the 'Use of Password Hash With Insufficient Computational Effort' vulnerability in EveHome Eve Play to execute arbitrary code. This issue affects Eve Play: through 1.1.42.

🤖 Analiza AI
Jak działa

Urządzenie EveHome Eve Play przechowuje lub przetwarza hasła przy użyciu funkcji skrótu o niedostatecznym koszcie obliczeniowym (CWE-916), co znacznie ułatwia ich odwrócenie metodami siłowymi lub słownikowymi. Uzyskane w ten sposób dane uwierzytelniające mogą zostać wykorzystane przez atakującego do przejęcia kontroli nad urządzeniem i wykonania dowolnego kodu (RCE). Podatność jest dostępna zdalnie przez sieć, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może przejąć pełną kontrolę nad urządzeniem EveHome Eve Play, wykonując dowolny kod zdalnie, co zagraża poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.evehome.com/en-us/security-content). Zaleca się niezwłoczną aktualizację firmware urządzenia do wersji wyższej niż 1.1.42, gdy tylko zostanie udostępniona przez producenta.

Kogo dotyczy

EveHome Eve Play we wszystkich wersjach do 1.1.42 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje
CVE-2024-5743 — RCE w EveHome Eve Play — słabe hashowanie haseł umożliwia wykonanie kodu — CRITICAL 9.8 | CVEbaza.pl