CVE-2024-12078

Опубликовано: 23 янв. 2025

Источник: nvd

CVSS3: 6.3

EPSS Низкий

Описание

ECOVACS robot lawn mowers and vacuums use a shared, static secret key to encrypt BLE GATT messages. An unauthenticated attacker within BLE range can control any robot using the same key.

Ссылки

https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf
Exploit
Third Party Advisory
https://youtu.be/_wUsM0Mlenc?t=2041
Exploit

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:ecovacs:deebot_n10_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n10:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:ecovacs:deebot_t10_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t10:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:ecovacs:deebot_x1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_x1:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:ecovacs:deebot_t20_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t20:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:ecovacs:deebot_x2_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_x2:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:ecovacs:goat_g1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:goat_g1:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:ecovacs:airbot_z1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_z1:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:ecovacs:airbot_ava_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_ava:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:ecovacs:airbot_andy_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:airbot_andy:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:ecovacs:deebot_900_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_900:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:ecovacs:deebot_n8_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n8:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:ecovacs:deebot_t8_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t8:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:ecovacs:deebot_n9_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_n9:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:ecovacs:deebot_t9_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ecovacs:deebot_t9:-:*:*:*:*:*:*:*

EPSS

Процентиль: 23%

0.00077

Низкий

6.3 Medium

CVSS3

Дефекты

CWE-321

Связанные уязвимости

GHSA-pmrp-4wv8-3m9q

CVSS3: 6.3

github

около 1 года назад

ECOVACS robot lawn mowers and vacuums use a shared, static secret key to encrypt BLE GATT messages. An unauthenticated attacker within BLE range can control any robot using the same key.

EPSS

Процентиль: 23%

0.00077

Низкий

6.3 Medium

CVSS3

Дефекты

CWE-321