PT-2025-47023 · Sercomm+1 · Sercomm Vfh500+1
Daniel Monzón
·
Publicado
2025-11-14
·
Atualizado
2025-11-15
·
CVE-2022-4985
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Dispositivos Vodafone H500s versão 3.5.10
Descrição
Dispositivos Vodafone H500s com firmware versão 3.5.10 (modelo de hardware Sercomm VFH500) apresentam uma falha na qual a senha do ponto de acesso WiFi é exposta através de um endpoint HTTP não autenticado. Um atacante pode enviar uma requisição GET especialmente construída para o endpoint
/data/activation.json com cabeçalhos e cookies específicos para recuperar um documento JSON contendo o campo wifi password. Isso permite acesso não autorizado à rede WiFi, potencialmente comprometendo a confidencialidade do tráfego de rede e dos sistemas conectados.Recomendações
Atualize para uma versão de firmware mais recente que corrija esta falha.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sercomm Vfh500
Vodafone H500S