PT-2024-5067 · Wyze+3 · Wyze Cam V3+4
Alexandru Lazar
+1
·
Publicado
2024-05-15
·
Atualizado
2024-05-17
·
CVE-2023-6324
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do ThroughTek Kalay SDK utilizadas na Owlet Cam v1, Owlet Cam v2, Wyze Cam v3 e Roku Indoor Camera SE
Descrição:
O problema está relacionado ao uso de variáveis não inicializadas no Kalay SDK, o que pode ser explorado por um invasor remoto para divulgar informações protegidas. Além disso, o SDK utiliza um valor PSK previsível na sessão DTLS ao encontrar uma identidade PSK inesperada.
Recomendações:
Para as versões do ThroughTek Kalay SDK utilizadas na Owlet Cam v1, Owlet Cam v2, Wyze Cam v3 e Roku Indoor Camera SE, considere desativar o uso de sessões DTLS com identidades PSK imprevisíveis até que uma correção esteja disponível. Como solução temporária, restrinja o acesso aos dispositivos afetados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Owlet Cam V1
Owlet Cam V2
Roku Indoor Camera Se
Throughtek Kalay Sdk
Wyze Cam V3