CVE-2025-10910

Nome do Software Vulnerável e Versões Afetadas Dispositivos Govee (versões afetadas não especificadas) Govee H6056 - firmware da lâmpada versão 1.08.13

Descrição Uma falha no processo de vinculação da plataforma em nuvem e dos dispositivos da Govee permite que um atacante remoto vincule um dispositivo Govee existente e online à conta do atacante, resultando no controle total do dispositivo e na remoção do dispositivo da conta do proprietário legítimo. A API do lado do servidor permite a associação do dispositivo usando identificadores: device, sku, type e um value calculado pelo cliente, que não estão vinculados criptograficamente a um segredo originado do próprio dispositivo. Isso permite a tomada de controle trivial do dispositivo via manipulação de identificadores.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.