CVE-2025-30137

Nome do Software Vulnerável e Versões Afetadas G-Net GNET APK versão 2.6.2

Descrição Foi descoberta uma falha no aplicativo móvel GNET onde existem credenciais hardcoded para as portas 9091 e 9092, possibilitando acesso não autorizado aos endpoints da API da dashcam. As credenciais para a porta 9091 são admin e 000000, e para a porta 9092, são admin e tibet. Um atacante pode enviar um comando de autenticação manipulado com TibetList e 000000 para listar as configurações da dashcam na porta 9091.

Recomendações Para o G-Net GNET APK versão 2.6.2, considere desabilitar o acesso às portas 9091 e 9092 até que um patch esteja disponível para remover as credenciais hardcoded. Restrinja o acesso aos endpoints da API nas portas 9091 e 9092 para minimizar o risco de exploração. Evite utilizar as credenciais hardcoded admin e 000000 para a porta 9091, e admin e tibet para a porta 9092, nos endpoints da API afetados até que a falha seja resolvida.