PT-2020-18883 · Philips · Philips Hue Bridge
Colin O’Flynn
+4
·
Publicado
2020-01-23
·
Atualizado
2025-10-09
·
CVE-2020-6007
CVSS v3.1
7.9
Alta
| Vetor | AV:A/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Philips Hue Bridge modelo 2.X, até e incluindo a versão 1935144020
Descrição
O problema está relacionado a um estouro de buffer baseado em heap que ocorre ao processar uma string ZCL longa durante a fase de comissionamento, resultando na execução remota de código. Isso pode ser explorado usando uma lâmpada ZigBee maliciosa para se infiltrar em uma rede IoT doméstica. A falha pode permitir que invasores remotos obtenham acesso a toda a rede Wi-Fi sem precisar quebrar a senha e lancem novos ataques contra outros dispositivos conectados à mesma rede.
Recomendações
Para o Philips Hue Bridge modelo 2.X anterior à versão 1935144020, inclusive, atualize para uma versão posterior à 1935144020 para resolver o problema. Como solução temporária, considere restringir o acesso à fase de comissionamento para minimizar o risco de exploração. Evite usar o Philips Hue Bridge vulnerável até que o problema seja resolvido.
Exploit
Correção
Heap Based Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Philips Hue Bridge