Nick

**Nome do Software Vulnerável e Versões Afetadas** Versões do broker MQTT YoSmart YoLink até 2025-10-02 **Descrição** O broker MQTT YoLink não impõe controles de autorização adequadamente, o que pode levar a ataques entre contas. Um invasor que obtenha IDs de dispositivo pode operar remotamente dispositivos pertencentes a outros usuários. A previsibilidade dos IDs de dispositivo YoLink facilita a exploração, potencialmente concedendo controle total sobre os dispositivos de outros usuários. **Recomendações** Atualize para uma versão posterior a 2025-10-02.

**Nome do Software Vulnerável e Versões Afetadas** Firmware do YoSmart YoLink Smart Hub versão 0382 **Descrição** O firmware do YoSmart YoLink Smart Hub versão 0382 não é criptografado. Dados extraídos do dispositivo podem ser utilizados para determinar credenciais de acesso à rede. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do aplicativo YoSmart YoLink até 2025-10-02 **Descrição** O aplicativo YoSmart YoLink possui tokens de sessão com tempos de vida inesperadamente longos. **Recomendações** Atualize para uma versão posterior a 2025-10-02. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do YoSmart YoLink até 2025-10-02 **Descrição** A API do YoSmart YoLink constrói uma URL de endpoint utilizando o endereço MAC de um dispositivo e um hash MD5 de informações não secretas, incluindo uma chave que começa com `cf50`. O endpoint da API é derivado dessas informações. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.