PT-2024-1435 · Unknown · Feverwarn Esp32+3
Vera Mens
·
Publicado
2024-01-25
·
Atualizado
2024-08-02
·
CVE-2023-49115
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Dispositivos MachineSense (versões afetadas não especificadas)
FeverWarn ESP32 (versões afetadas não especificadas)
FeverWarn RaspberryPi (versões afetadas não especificadas)
FeverWarn DataHub RaspberryPi (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada à ausência de um procedimento de autenticação para uma função crítica durante o processamento de mensagens MQTT, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Os dispositivos MachineSense utilizam mensagens MQTT não autenticadas para monitorar dispositivos e permitir a visualização remota dos dados dos sensores pelos usuários.
Recomendações
Para os dispositivos MachineSense, considere desativar o uso de mensagens MQTT não autenticadas até que um mecanismo de autenticação adequado seja implementado.
Para o FeverWarn ESP32, FeverWarn RaspberryPi e FeverWarn DataHub RaspberryPi, restrinja o acesso a funções críticas que processam mensagens MQTT até que um procedimento de autenticação seja implementado.
Como solução alternativa temporária, considere implementar medidas de segurança adicionais para minimizar o risco de exploração, como restringir o acesso remoto aos dados dos sensores.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Feverwarn Datahub Raspberrypi
Feverwarn Esp32
Feverwarn Raspberrypi
Machinesense