CVE-2024-52327

ECOVACS lawnmower and vacuum cloud service live video PIN bypass

CVSS 6 MEDIUMEPSS 0.5%CWE-603 CWE-807

En resumen

Los cortacéspedes y aspiradores robot de ECOVACS tienen una falla que permite a quien ya está conectado al servicio en la nube omitir la protección de PIN y acceder al video en vivo. Esto es problemático porque el PIN debería ser una capa adicional de seguridad para mantener privado el video de su hogar.

Detalle técnico

Atacantes autenticados pueden eludir la verificación de PIN (CWE-603: Uso de Contraseña Hard-Coded) en el servicio en la nube de ECOVACS para acceder a transmisiones de video en vivo de dispositivos conectados. La vulnerabilidad requiere autenticación previa en la cuenta en la nube (CWE-807: Confianza en Dirección IP Hard-Coded), pero elude un control de autorización adicional, exponiendo potencialmente capacidades de vigilancia no autorizadas.

Resumen generado y traducido por IA a partir de la descripción oficial.

The cloud service used by ECOVACS robot lawnmowers and vacuums allows authenticated attackers to bypass the PIN entry required to access the live video feed.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Productos afectados

ECOVACS · cloud service ECOVACS · ECOVACS HOME

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf https://www.ecovacs.com/global/userhelp/dsa20241217002