PT-2026-60925 · Sipeed · Picoclaw
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Sipeed PicoClaw versões anteriores a 0.3.0
Description
Existe uma falha de bypass de autenticação no componente LINE Webhook devido a um problema de capture-replay. Um invasor remoto pode explorar isso manipulando a função
webhook.ParseRequest() no arquivo pkg/channels/line/line.go. Capture-replay é uma técnica onde uma transmissão de dados válida é gravada e posteriormente reenviada ao sistema para enganá-lo e obter acesso não autorizado.Recommendations
Atualize o Sipeed PicoClaw para a versão 0.3.0 ou posterior.
Como medida de mitigação temporária, restrinja o acesso ao componente LINE Webhook para minimizar o risco de exploração.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Picoclaw