Podatność w module strony głównej usługi eWeLink Cloud Service (wersje przed 2.19.0) umożliwia użytkownikowi pomocniczemu przejęcie urządzenia i uzyskanie uprawnień użytkownika podstawowego. Problem wynika z ujawniania nadmiarowych, wrażliwych informacji o urządzeniu podczas procesu udostępniania.
▸ Pokaż oryginał (EN)
When the device is shared, the homepage module are before 2.19.0 in eWeLink Cloud Service allows Secondary user to take over devices as primary user via sharing unnecessary device-sensitive information.
Gdy urządzenie jest udostępniane innemu użytkownikowi, moduł strony głównej przekazuje użytkownikowi pomocniczemu zbędne, wrażliwe dane dotyczące urządzenia (CWE-201: Insertion of Sensitive Information Into Sent Data). Użytkownik pomocniczy, korzystając z tych informacji, jest w stanie podszyć się pod właściciela i przejąć pełną kontrolę nad urządzeniem jako użytkownik podstawowy.
Atakujący posiadający status użytkownika pomocniczego może przejąć rolę użytkownika podstawowego i uzyskać pełną kontrolę nad udostępnionym urządzeniem IoT, co może prowadzić do nieautoryzowanego zarządzania urządzeniem oraz naruszenia poufności i integralności danych i systemów powiązanych.
Należy zaktualizować eWeLink Cloud Service do wersji 2.19.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem https://ewelink.cc/security-advisory-240730/
Moduł strony głównej eWeLink Cloud Service w wersjach wcześniejszych niż 2.19.0
Podatność wymaga interakcji użytkownika (UI:P) oraz uprzedniego udostępnienia urządzenia użytkownikowi pomocniczemu, co nieznacznie ogranicza powierzchnię ataku. Wektor CVSS wskazuje jednak na wysoki wpływ na systemy zależne (SC:H/SI:H/SA:H), co może być istotne w środowiskach automatyki domowej i przemysłowej (smart home, IoT).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:N/R:U/V:D/RE:L/U:Green