CVE-2026-33357

Nome do Software Vulnerável e Versões Afetadas CloudEdge versão 5.5.0 build 220 Arenti versão 1.8.1 build 220 Aplicações white-label baseadas em Meari versões 1.8.x e anteriores

Descrição Aplicações cliente Meari que incorporam o "com.meari.sdk" possuem uma falha de autorização no lado do servidor. Um invasor pode abusar do caminho de chamada integrado para 'openapi-euce.mearicloud.com' para recuperar o endereço IP WAN de dispositivos arbitrários usando seus números de série. Isso é possível porque o endpoint 'GET /openapi/device/status' não requer autenticação de usuário e utiliza uma chave de assinatura codificada (hardcoded) presente em todas as aplicações baseadas em Meari distribuídas ao público. Este problema é uma Referência Direta a Objeto Insegura (IDOR), que ocorre quando uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.