CVE-2023-1751

Опубликовано: 04 апр. 2023

Источник: nvd

CVSS3: 7.5

CVSS3: 5.3

EPSS Низкий

Описание

The listed versions of Nexx Smart Home devices use a WebSocket server that does not validate if the bearer token in the Authorization header belongs to the device attempting to associate. This could allow any authorized user to receive alarm information and signals meant for other devices which leak a deviceId.

Ссылки

https://www.cisa.gov/news-events/ics-advisories/icsa-23-094-01
Third Party Advisory
US Government Resource
https://www.cisa.gov/news-events/ics-advisories/icsa-23-094-01
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:getnexx:nxal-100_firmware:*:*:*:*:*:*:*:*

Версия до nxal100v-p1-9-1 (включая)

cpe:2.3:h:getnexx:nxal-100:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:getnexx:nxg-100b_firmware:*:*:*:*:*:*:*:*

Версия до nxg100bv-p3-4-1 (включая)

cpe:2.3:h:getnexx:nxg-100b:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:getnexx:nxpg-100w_firmware:*:*:*:*:*:*:*:*

Версия до nxpg100cv4-0-0 (включая)

cpe:2.3:h:getnexx:nxpg-100w:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:getnexx:nxg-200_firmware:*:*:*:*:*:*:*:*

Версия до nxg200v-p3-4-1 (включая)

cpe:2.3:h:getnexx:nxg-200:-:*:*:*:*:*:*:*

EPSS

Процентиль: 54%

0.00309

Низкий

7.5 High

CVSS3

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-8j4q-8455-qxw3

CVSS3: 5.3

github

почти 3 года назад

BDU:2023-02462

CVSS3: 7.1

fstec

почти 3 года назад

Уязвимость микропрограммного обеспечения контроллеров Nexx Garage Door Controller (NXG-100B, NXG-200), Nexx Smart Plug (NXPG-100W), Nexx Smart Alarm (NXAL-100), связанная с недостаточной проверкой входных данных, позволяющая нарушителю получить информацию, предназначенную для других устройств

EPSS

Процентиль: 54%

0.00309

Низкий

7.5 High

CVSS3

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo