PT-2021-7055 · Anker · Anker Eufy Homebase 2
Lilith >_>
·
Publicado
2021-11-29
·
Atualizado
2022-07-29
·
CVE-2021-21952
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Anker Eufy Homebase 2 versão 2.1.6.9h
Descrição
O problema está relacionado a uma falha de autenticação na funcionalidade CMD DEVICE GET RSA KEY REQUEST do binário home security. Ela pode ser explorada por um conjunto de pacotes de rede especialmente criados, podendo levar ao aumento de privilégios. A vulnerabilidade está associada a falhas no procedimento de autenticação, o que pode permitir que um invasor remoto contorne a autenticação ou obtenha acesso não autorizado ao dispositivo.
Recomendações
Para o Anker Eufy Homebase 2 versão 2.1.6.9h, considere restringir o acesso à funcionalidade CMD DEVICE GET RSA KEY REQUEST até que uma correção esteja disponível. Como solução temporária, limite a exposição do binário home security para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Anker Eufy Homebase 2