CVE-2024-11147

Опубликовано: 23 янв. 2025

Источник: nvd

CVSS3: 7.6

EPSS Низкий

Описание

ECOVACS robot lawnmowers and vacuums use a deterministic root password generated based on model and serial number. An attacker with shell access can login as root.

Ссылки

https://builder.dontvacuum.me/ecopassword.php
Product
https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf
Exploit
Third Party Advisory
https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:ecovacs:deebot_900_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_900:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:ecovacs:deebot_n8_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n8:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:ecovacs:deebot_t8_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t8:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:ecovacs:deebot_n9_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n9:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:ecovacs:deebot_t9_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t9:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:ecovacs:deebot_n10_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n10:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:ecovacs:deebot_t10_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t10:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:ecovacs:deebot_x1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_x1:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:ecovacs:deebot_t20_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t20:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:ecovacs:deebot_x2_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_x2:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:ecovacs:goat_g1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:goat_g1:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:ecovacs:airbot_z1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_z1:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:ecovacs:airbot_ava_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_ava:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:ecovacs:airbot_andy_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_andy:-:*:*:*:*:*:*:*

EPSS

Процентиль: 31%

0.0012

Низкий

7.6 High

CVSS3

Дефекты

CWE-798

Связанные уязвимости

GHSA-w3jw-m3f7-54qm

CVSS3: 7.6

github

около 1 года назад

ECOVACS robot lawnmowers and vacuums use a deterministic root password generated based on model and serial number. An attacker with shell access can login as root.

EPSS

Процентиль: 31%

0.0012

Низкий

7.6 High

CVSS3

Дефекты

CWE-798