CVE-2023-46889

Meross MSH30Q versão 4.5.23

O problema diz respeito à transmissão de informações confidenciais em texto simples durante a fase de configuração do dispositivo. Ao configurar o dispositivo, ele cria um ponto de acesso Wi-Fi desprotegido e solicita que o usuário insira o nome da rede Wi-Fi (SSID) e a senha para se conectar à internet. Embora a senha do Wi-Fi seja criptografada, parte do algoritmo de descriptografia está disponível publicamente, permitindo a descriptografia da senha. Isso afeta a transmissão da senha e do nome do Wi-Fi entre o dispositivo e o aplicativo móvel pela rede Wi-Fi.

Para o Meross MSH30Q versão 4.5.23, considere alterar a senha e o SSID da rede Wi-Fi após a configuração inicial para minimizar o risco de exploração. Como solução temporária, restrinja o acesso à fase de configuração do dispositivo apenas a redes confiáveis até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.