CVE-2025-32878

Nome do Software Vulnerável e Versões Afetadas: COROS PACE 3 versões até 3.0808.0

Descrição: Foi descoberta uma falha que permite a um atacante interceptar e manipular a comunicação HTTPS. O dispositivo não valida o certificado do servidor X.509 durante o handshake TLS, permitindo que um atacante posicionado ativamente como intermediário explore essa falha usando um proxy TLS e um certificado autoassinado. Isso pode ser explorado para roubar o token de acesso à API da conta de usuário associada.

Recomendações: Para as versões do COROS PACE 3 até 3.0808.0, como medida paliativa temporária, considere desativar a função de conexão WLAN até que uma correção esteja disponível para validar o certificado do servidor X.509. Restrinja o acesso a informações sensíveis, como tokens de acesso à API, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.