PT-2021-11606 · Athom · Homey Pro+1
Publicado
2021-03-09
·
Atualizado
2021-03-17
·
CVE-2020-28952
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Athom Homey e Homey Pro anteriores à 5.0.0
Descrição:
Foi descoberta uma falha em que os dispositivos hub ZigBee deveriam gerar uma Chave de Rede Padrão exclusiva para a comunicação criptografada entre dispositivos. No entanto, os dispositivos afetados utilizam uma chave amplamente conhecida, projetada para fins de teste: “01030507090b0d0f00020406080a0c0d”, que é gerada manualmente e é estática em todos os dispositivos emitidos.
Recomendações:
Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à rede ZigBee para minimizar o risco de exploração.
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Athom Homey
Homey Pro