Jan Adamski

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos Govee (versões afetadas não especificadas) Govee H6056 - firmware da lâmpada versão 1.08.13 **Descrição** Uma falha no processo de vinculação da plataforma em nuvem e dos dispositivos da Govee permite que um atacante remoto vincule um dispositivo Govee existente e online à conta do atacante, resultando no controle total do dispositivo e na remoção do dispositivo da conta do proprietário legítimo. A API do lado do servidor permite a associação do dispositivo usando identificadores: `device`, `sku`, `type` e um `value` calculado pelo cliente, que não estão vinculados criptograficamente a um segredo originado do próprio dispositivo. Isso permite a tomada de controle trivial do dispositivo via manipulação de identificadores. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Govee Home anteriores à 5.9 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização incorreta no método HTTP POST do aplicativo Govee Home para Android e iOS. Isso permite que um invasor remoto controle dispositivos pertencentes a outros usuários alterando os valores dos campos `device`, `sku` e `type`. **Recomendações** Para versões anteriores à 5.9, atualize para a versão 5.9 para mitigar o risco. Como solução temporária, considere restringir o acesso ao método HTTP POST até que a atualização seja aplicada. Evite usar os campos `device`, `sku` e `type` no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** eWeLink versions prior to 5.2.0 **Description** The issue is related to improper privilege management in the eWeLink application on Android and iOS, allowing for application lockscreen bypass. **Recommendations** For versions prior to 5.2.0, update to version 5.2.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Imou Life version 6.7.0 **Description** A session hijacking issue has been detected in the Imou Life application. This issue could allow an attacker to hijack user accounts due to the QR code functionality not properly filtering codes when scanning a new device and directly running WebView without prompting or displaying it to the user. This could trigger phishing attacks. **Recommendations** For Imou Life version 6.7.0, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Govee Home app (affected versions not specified) **Description** The Govee Home app has unprotected access to the WebView component, which can be opened by any app on the device. By sending a URL to a specially crafted site, an attacker can execute JavaScript in the context of WebView or steal sensitive user data by displaying phishing content. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.