CVE-2020-11015

Versões do servidor de gerenciamento de dispositivos IoT thinx-device-api anteriores à 2.5.0

Foi divulgada uma vulnerabilidade no servidor de gerenciamento de dispositivos IoT thinx-device-api, na qual o endereço MAC do dispositivo pode ser falsificado. Isso permite que solicitações de registro inicial sem um UDID e com um endereço MAC falsificado criem um novo UDID com o mesmo endereço MAC. O impacto total dessa vulnerabilidade precisa ser analisado mais detalhadamente. Ela afeta todos os usuários, principalmente aqueles que utilizam dispositivos ESP8266/ESP32.

Para versões anteriores à 2.5.0, atualize para a versão de firmware 2.5.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint de solicitação de registro inicial para minimizar o risco de exploração. Evite usar endereços MAC falsificados em solicitações de registro até que o problema seja resolvido.