Fahim Balouch

Nome do Software Vulnerável e Versões Afetadas: TrendMakers Sight Bulb Pro (versões afetadas não especificadas) Descrição: O problema ocorre durante a configuração inicial do dispositivo, na qual o usuário se conecta a um ponto de acesso transmitido pelo Sight Bulb Pro. Durante essa negociação, as chaves de criptografia AES são transmitidas em texto puro. Se capturadas, um atacante pode ser capaz de descriptografar as comunicações entre o aplicativo de gerenciamento e o Sight Bulb Pro, as quais podem incluir informações sensíveis, como credenciais de rede. Houve relatos de execução trivial de comandos shell sem nenhuma mitigação, permitindo acesso root via LAN. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Sight Bulb Pro (versões afetadas não especificadas) Descrição: A falha permite que usuários não autenticados em uma rede adjacente executem comandos de shell como root através de um protocolo TCP proprietário vulnerável disponível na Porta 16668. Isso permite que um atacante execute comandos arbitrários no Sight Bulb Pro ao enviar uma string JSON bem formada. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.