CVE-2023-27126

Опубликовано: 06 июн. 2023

Источник: nvd

CVSS3: 4.6

EPSS Низкий

Описание

The AES Key-IV pair used by the TP-Link TAPO C200 camera V3 (EU) on firmware version 1.1.22 Build 220725 is reused across all cameras. An attacker with physical access to a camera is able to extract and decrypt sensitive data containing the Wifi password and the TP-LINK account credential of the victim.

Ссылки

http://tapo.com
Product
http://tp-link.com
Product
https://www.claranet.fr/blog/dans-les-entrailles-dune-camera-connectee-tp-link-14
Exploit
Third Party Advisory
http://tapo.com
Product
http://tp-link.com
Product
https://www.claranet.fr/blog/dans-les-entrailles-dune-camera-connectee-tp-link-14
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:tp-link:tapo_c200_firmware:1.2.2:build_220725:*:*:*:*:*:*

cpe:2.3:h:tp-link:tapo_c200:3:*:*:*:*:*:*:*

EPSS

Процентиль: 13%

0.00044

Низкий

4.6 Medium

CVSS3

Дефекты

CWE-522

Связанные уязвимости

GHSA-jg46-gm9c-xj3p

CVSS3: 4.6

github

больше 2 лет назад

BDU:2023-03184

CVSS3: 5.3

fstec

около 3 лет назад

Уязвимость реализации алгоритма шифрования AES микропрограммного обеспечения IP-камер TP-Link Tapo C200, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации