CRITICAL🇬🇧 English

CVE-2025-30124

Marbella KR8s Dashcam: hasło zapisywane w plaintext na karcie SD

CVSS 9.8v3.1pub. 2025-07-28upd. 2026-04-15

Kamera samochodowa Marbella KR8s Dashcam FF w wersji 2.0.8 automatycznie zapisuje hasło urządzenia w postaci niezaszyfrowanej (cleartext) na nowo włożonej karcie SD. Atakujący z chwilowym fizycznym dostępem do urządzenia może podmienić kartę SD i w ten sposób wykraść hasło.

Pokaż oryginał (EN)

An issue was discovered on Marbella KR8s Dashcam FF 2.0.8 devices. When a new SD card is inserted into the dashcam, the existing password is written onto the SD card in cleartext automatically. An attacker with temporary access to the dashcam can switch the SD card to steal this password.

🤖 Analiza AI
Jak działa

Gdy do kamery samochodowej zostanie włożona nowa karta SD, urządzenie automatycznie zapisuje aktualne hasło dostępowe bezpośrednio na tej karcie w postaci jawnego tekstu (cleartext). Atakujący potrzebuje jedynie krótkiego fizycznego dostępu do kamery — wystarczy chwilowo podmienić kartę SD, a następnie odczytać plik z hasłem poza urządzeniem. Mechanizm nie wymaga żadnych uprawnień ani interakcji użytkownika.

Skutki

Atakujący może uzyskać hasło do kamery, co umożliwia pełny dostęp do jej ustawień i nagrań. Przejęcie hasła może również stanowić zagrożenie, jeśli użytkownik stosuje to samo hasło w innych systemach lub usługach.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wydania poprawki zaleca się ograniczenie fizycznego dostępu do urządzenia oraz unikanie ponownego użycia hasła ustawionego w kamerze w innych systemach.

Kogo dotyczy

Marbella KR8s Dashcam FF w wersji firmware 2.0.8

Uwagi

Podatność została odkryta i opisana przez badacza geo-chen, który opublikował szczegółowy opis techniczny na platformie Medium oraz w repozytorium GitHub. Atak wymaga fizycznego dostępu do urządzenia, co obniża realną powierzchnię ataku mimo wysokiego wyniku CVSS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-30124 — Marbella KR8s Dashcam: hasło zapisywane w plaintext na karcie SD — CRITICAL 9.8 | CVEbaza.pl