PT-2024-27692 · Tuya · Tuya Sdk
Kaizheng
·
Publicado
2024-04-14
·
Atualizado
2024-08-01
·
CVE-2024-3764
CVSS v2.0
3.3
Baixa
| Vetor | AV:N/AC:L/Au:M/C:N/I:N/A:P |
Nome do software vulnerável e versões afetadas
Versões do Tuya SDK até 5.0.x
Descrição
Foi identificada uma vulnerabilidade no componente MQTT Packet Handler, que pode levar a uma negação de serviço. O ataque pode ser lançado remotamente, mas o fornecedor observa que um agente mal-intencionado teria que primeiro violar a criptografia TLS ou usar um login legítimo para iniciar o ataque. A existência real dessa vulnerabilidade ainda é questionada no momento.
Recomendações
Para versões do Tuya SDK até 5.0.x, atualize para a versão 5.1.0 para resolver esse problema.
Como solução temporária, considere restringir o acesso ao componente MQTT Packet Handler até que um patch esteja disponível.
Exploit
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tuya Sdk