CRITICAL🇬🇧 English

CVE-2025-65826

Hardcoded credentials w aplikacji mobilnej Meatmeet

CVSS 9.8v3.1pub. 2025-12-10upd. 2025-12-30

Aplikacja mobilna Meatmeet zawiera zakodowane na stałe dane uwierzytelniające (credentials) do sieci Wi-Fi producenta. Podatność może umożliwić nieautoryzowany dostęp do sieci Wi-Fi vendora lub przeprowadzenie ataku typu evil twin access point.

Pokaż oryginał (EN)

The mobile application was found to contain stored credentials for the network it was developed on. If an attacker retrieved this, and found the physical location of the Wi-Fi network, they could gain unauthorized access to the Wi-Fi network of the vendor. Additionally, if an attacker were located in close physical proximity to the device when it was first set up, they may be able to force the device to auto-connect to an attacker-controlled access point by setting the SSID and password to the same as which was found in the firmware file.

🤖 Analiza AI
Jak działa

W aplikacji mobilnej odkryto przechowywane w postaci jawnej (plaintext) dane logowania do sieci Wi-Fi, na której produkt był rozwijany (CWE-312: Cleartext Storage of Sensitive Information). Atakujący, który pozyska plik aplikacji lub firmware, może odczytać nazwę sieci (SSID) oraz hasło. Jeśli ustali fizyczną lokalizację tej sieci, może próbować uzyskać do niej nieautoryzowany dostęp. Ponadto, atakujący przebywający w bliskim zasięgu fizycznym urządzenia podczas jego pierwszej konfiguracji może skonfigurować własny punkt dostępowy z identycznym SSID i hasłem, wymuszając automatyczne połączenie urządzenia z kontrolowaną przez siebie siecią.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do sieci Wi-Fi producenta lub przeprowadzić atak man-in-the-middle poprzez podstawienie złośliwego punktu dostępowego, co może prowadzić do przechwycenia ruchu sieciowego urządzenia.

Mitygacja

Należy usunąć hardcoded credentials z kodu aplikacji mobilnej i plików firmware. Dane uwierzytelniające powinny być przechowywane w bezpieczny, zaszyfrowany sposób lub nie powinny być w ogóle zawarte w dystrybucji aplikacji. Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

Aplikacja mobilna Meatmeet (produkt Meatmeet); konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność została udokumentowana przez badacza dead1nfluence i opublikowana w serwisie GitHub wraz z szczegółowym opisem technicznym (referencje wskazują na publiczne Proof of Concept). Atak wymaga bliskiej fizycznej obecności atakującego lub wcześniejszego pozyskania pliku aplikacji/firmware.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Meatmeet

    APP
    Meatmeet
    1.1.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-65820CRITICAL9.8PL ✓ten sam produkt

Ujawnienie informacji o nieopublikowanych urządzeniach w aplikacji Meatmeet Android

CVE-2025-65827CRITICAL9.1PL ✓ten sam produkt

Meatmeet – transmisja danych w czystym tekście (HTTP), przechwycenie tokenów uwierzytelniania

CVE-2025-65830CRITICAL9.1PL ✓ten sam produkt

Brak walidacji certyfikatu TLS w aplikacji mobilnej Meatmeet

CVE-2025-65831HIGH7.5ten sam produkt

The application uses an insecure hashing algorithm (MD5) to hash passwords. If an attacker obtained a copy of ...

CVE-2025-65832MEDIUM4.6ten sam produkt

The mobile application insecurely handles information stored within memory. By performing a memory dump on the...