CRITICAL✓ PATCH🇬🇧 English

CVE-2024-7205

eWeLink Cloud Service: przejęcie urządzenia przez użytkownika pomocniczego

CVSS 9.4v4.0pub. 2024-07-31upd. 2026-04-15

Podatność w module strony głównej usługi eWeLink Cloud Service (wersje przed 2.19.0) umożliwia użytkownikowi pomocniczemu przejęcie urządzenia i uzyskanie uprawnień użytkownika podstawowego. Problem wynika z ujawniania nadmiarowych, wrażliwych informacji o urządzeniu podczas procesu udostępniania.

Pokaż oryginał (EN)

When the device is shared, the homepage module are before 2.19.0  in eWeLink Cloud Service allows Secondary user to take over devices as primary user via sharing unnecessary device-sensitive information.

🤖 Analiza AI
Jak działa

Gdy urządzenie jest udostępniane innemu użytkownikowi, moduł strony głównej przekazuje użytkownikowi pomocniczemu zbędne, wrażliwe dane dotyczące urządzenia (CWE-201: Insertion of Sensitive Information Into Sent Data). Użytkownik pomocniczy, korzystając z tych informacji, jest w stanie podszyć się pod właściciela i przejąć pełną kontrolę nad urządzeniem jako użytkownik podstawowy.

Skutki

Atakujący posiadający status użytkownika pomocniczego może przejąć rolę użytkownika podstawowego i uzyskać pełną kontrolę nad udostępnionym urządzeniem IoT, co może prowadzić do nieautoryzowanego zarządzania urządzeniem oraz naruszenia poufności i integralności danych i systemów powiązanych.

Mitygacja

Należy zaktualizować eWeLink Cloud Service do wersji 2.19.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem https://ewelink.cc/security-advisory-240730/

Kogo dotyczy

Moduł strony głównej eWeLink Cloud Service w wersjach wcześniejszych niż 2.19.0

Uwagi

Podatność wymaga interakcji użytkownika (UI:P) oraz uprzedniego udostępnienia urządzenia użytkownikowi pomocniczemu, co nieznacznie ogranicza powierzchnię ataku. Wektor CVSS wskazuje jednak na wysoki wpływ na systemy zależne (SC:H/SI:H/SA:H), co może być istotne w środowiskach automatyki domowej i przemysłowej (smart home, IoT).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:N/R:U/V:D/RE:L/U:Green
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje